Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacy van Nederlandse kinderen voldoende gewaarborgd is in de populaire muziekapp TikTok. Dat meldt de toezichthouder op zijn website.
Volgens de Autoriteit Persoonsgegevens worden kinderen beschouwd als extra kwetsbare groep omdat zij zich juist ook bij bij de verwerking van hun persoonsgegevens door sociale media minder bewust zijn van de gevolgen van hun handelen.
“We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruikmaken van TikTok”, schrijft voorzitter Monique Verdier van de Autoriteit Persoonsgegevens. “We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.”
De AP gaat kijken of de informatie die de app geeft over het installeren en gebruiken van de app goed te begrijpen is en of TikTok voldoende uitleg geeft over de verzameling, verwerking en het verdere gebruik van persoonsgegevens.
Ook onderzoekt de Nederlandse toezichthouder of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.
AVG Awareness, Privacy Nieuws
91 procent van de mensen weet dat het hergebruik van wachtwoorden onveilig is, maar tweederde doet het toch. LogMeIn’s LastPass heeft de resultaten gepubliceerd van zijn derde wereldwijde onderzoek, “The Psychology of Passwords”.
Mensen blijken zich nog altijd niet te beschermen tegen cyberveiligheidsrisico’s, ook al weten ze dat ze dat wel moeten doen.
Veilige logins zijn belangrijker dan ooit in het thuiskantoor. Het wachtwoordgedrag van de gebruikers is de afgelopen jaren echter niet verbeterd. Integendeel, het is eerder slechter geworden.
Het derde globale onderzoek “Psychology of Passwords” toont dat cognitieve dissonantie overheerst: veiligheidsbewust denken blijkt niet te worden vertaald in actie door gebruikers.
Ongewijzigd gedrag creëert nieuwe online beveiligingsproblemen
Het bewustzijn van hackeraanvallen en privacyschendingen neemt jaar na jaar toe, maar het consumentengedrag met betrekking tot wachtwoorden blijft grotendeels ongewijzigd.
91 procent van de ondervraagden weet dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico is. Echter, 66 procent gebruikt nog steeds hetzelfde wachtwoord.
Naarmate mensen meer tijd online doorbrengen, is de evolutie van cyberveiligheidsbedreigingen en ongewijzigde wachtwoordhygiëne een zorg voor de accountbeveiliging.
Het derde wereldwijde rapport, “The Psychology of Passwords”, werd gepubliceerd voor de World Password Day op 7 mei 2020.
LastPass heeft voor het onderzoek in maart 2020 wereldwijd 3.250 volwassenen van 18 tot 60 jaar met meerdere online accounts ondervraagd.
De belangrijkste resultaten in detail:
- Wereldwijde cyberdreigingen blijven omhoogschieten, maar het wachtwoordgedrag blijft onveranderd
- Wachtwoordgedrag is grotendeels ongewijzigd gebleven ten opzichte van dezelfde studie uit 2018 – wat tot uiting komt in enig risicovol gedrag.
- 53 procent van de respondenten heeft de afgelopen 12 maanden hun wachtwoord niet gewijzigd, ook al zijn de gegevensinbreuken openbaar gemaakt.
- De meerderheid van de mensen is zich er ook van bewust dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico. Toch gebruikt 66 procent van de mensen meestal of zelfs altijd hetzelfde wachtwoord op verschillende platforms.
Veiligheidsbewust denken kan niet worden vertaald in actie
De resultaten laten ook tegenstrijdigheden zien, waarbij de respondenten één ding zeggen en er iets anders voor terugdoen.
- 77 procent voelt zich geïnformeerd over de beste wachtwoordpraktijken, maar toch probeert meer dan de helft (54 procent) de wachtwoorden te onthouden.
- Bijna een op de drie (27 procent) schrijft ze zelfs ergens op.
- Evenzo is 80 procent bezorgd dat hun wachtwoorden kunnen worden gecompromitteerd, maar 48 procent verandert nooit hun wachtwoord tenzij het wordt opgevraagd.
Angst voor vergetelheid is de belangrijkste reden voor het hergebruik van wachtwoorden
De meeste respondenten (66 procent) gebruiken hetzelfde wachtwoord voor meerdere accounts, een stijging van 8 procent ten opzichte van de resultaten van 2018. Waarom?
De angst om inloggegevens te vergeten blijft de belangrijkste reden voor het hergebruik van wachtwoorden (60 procent), gevolgd door de wens om alle wachtwoorden te kennen en te controleren (52 procent).
Een echte paradox: gebruikers willen het overzicht houden over hun wachtwoorden, maar met het herhaalde gebruik van hetzelfde wachtwoord ontlopen accounts hun controle op het gebied van beveiliging tegen hackers.
Bewustwording en gebruik van Multifactor Authenticatie (MFA) neemt toe
Het goede nieuws is dat Multifactor Authenticatie (MFA) alom bekend is en gebruikt wordt. Gelukkig zegt 54 procent dat ze MFA gebruiken voor hun persoonlijke accounts. Slechts 19 procent van de respondenten wist niet wat MFB was. Een belangrijke stap in de richting van goede wachtwoordbeveiliging.
Respondenten zijn ook zeer tevreden over de biometrische authenticatie met behulp van vingerafdrukken of gezichtsherkenning om in te loggen op apparaten of accounts. 65 procent zegt meer vertrouwen te hebben in vingerafdrukken of gezichtsherkenning dan in traditionele tekstpassages. Deze kunnen immers slechts in beperkte mate worden nagebootst en de toegang tot het individu echt op maat maken. Een op tekst gebaseerd wachtwoord kan daarentegen snel worden ontcijferd.
“In een tijd waarin de COVID 19-pandemie ervoor zorgt dat een groot deel van de wereldwijde beroepsbevolking thuis werkt en mensen meer tijd online doorbrengen, zijn de cyberdreigingen waarmee consumenten te maken krijgen op een historisch hoog niveau. Individuen lijken niet te reageren op de bedreigingen die uitgaan van zwakke wachtwoorden en blijven gedrag vertonen dat hun informatie in gevaar brengt”, zegt John Bennett van LogMeIn, het bedrijf dat eigenaar is van LastPass. “Met een paar eenvoudige stappen kunt u het wachtwoordgedrag verbeteren en de veiligheid van online accounts verhogen, of het nu gaat om persoonlijke of professionele accounts. Maak van World Password Day 2020 het keerpunt voor het veranderen van uw wachtwoordgedrag.”
Enquêtemethodologie:
Het onderzoek naar “Password Psychology” werd door het onafhankelijke panelonderzoeksbureau L#ab42 in opdracht van LastPass uitgevoerd tussen 5 en 15 maart 2020.
In totaal zijn er wereldwijd 3.250 volwassenen in de leeftijd van 18 tot 60 jaar met meerdere online accounts ondervraagd.
De deelnemers kwamen uit de Verenigde Staten, Duitsland, Brazilië, Australië, Singapore en het Verenigd Koninkrijk. De resultaten werden, voor zover mogelijk, vergeleken met de in 2018 in opdracht van LastPass uitgevoerde enquête “Psychology of Passwords”.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.
Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.
“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Vijf concrete aanbevelingen
Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Over het register van verwerkingen
De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.
PrivacyZone helpt bij het opzetten van een verwerkingsregister
Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.
Privacy Nieuws
De Duitse overheid blijkt net als de Nederlandse overheid te hebben ontdekt dat Microsoft niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG).
Uit het Duitse onderzoek blijkt dat de problemen niet alleen bij de Microsoft software voor de overheid, maar ook bij de versies voor de zakelijke markt en consumenten spelen.
Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) onderzoekt systeemintegriteit, logging en beveiligingsfuncties van Windows 10. Net als in Nederland zijn er ook in Duitsland problemen geconstateerd met telemetriefuncties in de software. Microsoft stuurt zonder toestemming voortdurend gebruikersgegevens naar Amerika.
De analyses van de BSI omvatten componenten zoals de Trusted Platform Module (TPM), VBS/DeviceGuard, Windows PowerShell, de Application Compatibility Infrastructure, driver management en PatchGuard.
Volgens de BSI heeft de in Windows 10 ingebouwde telemetriecomponent uitgebreide mogelijkheden om toegang te krijgen tot systeem- en gebruiksinformatie en deze naar Microsoft te sturen.
Hoewel gebruikers verschillende telemetrie niveaus kunnen instellen, is het niet mogelijk om de verzonden informatie duidelijk toe te wijzen aan deze niveaus. Windows laadt de configuratiegegevens meerdere malen per uur en wijst de bestaande telemetriebronnen dynamisch toe tijdens het gebruik.
Zelfs de configuratie van het laagst mogelijke telemetrie-niveau verhindert volgens het BSI-onderzoek de gegevensoverdracht niet volledig. Dit geldt zowel voor het niveau 0 (beveiliging) dat beschikbaar is in de Windows-edities van de onderneming als voor het minimumniveau 1 (eenvoudig) dat mogelijk is in de consumentenversies.
Een volledige preventie van het verzamelen en verzenden van telemetriegegevens door Windows is technisch mogelijk, maar voor de eenvoudige gebruiker moeilijk te implementeren, schrijft de BSI.
In het document “Analyse van de telemetriecomponent in Windows 10” (PDF/Eng.) vergelijkt BSI verschillende benaderingen met betrekking tot effectiviteit, uitvoerbaarheid en verwachte bijwerkingen.
De in detail beschreven systeeminterventies omvatten het afsluiten van bepaalde diensten, het deactiveren van zogenaamde ETW-sessies (Event Tracing voor Windows) of het onderdrukken van de communicatie met Microsoft-servers via firewallregels of DNS-manipulaties.
Privacy Nieuws
Stel dat jouw organisatie volgende week onverwachts door de Autoriteit Persoonsgegevens (AP) wordt bezocht voor een steekproef… Kun jij dan deze 10 vragen beantwoorden die de toezichthouders in Duitsland momenteel stellen bij AVG steekproeven in het MKB?
1. voorbereiding op de AVG
Hoe heeft u zich als bedrijf voorbereid op de AVG?
Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.
Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.
2. lijst van verwerkingsactiviteiten
Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?
Hoe zorgt u ervoor dat het up-to-date is?
Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.
3. toelaatbaarheid van de verwerking
Op welke wettelijke basis verwerkt u persoonlijke gegevens?
Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.
4. rechten van de betrokkenen
Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?
Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.
Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.
5. technische gegevensbescherminga
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?
Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?
Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)
6. beoordeling van de gevolgen voor de persoonlijke levenssfeer
Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming
Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.
7. orderverwerking
Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?
Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.
8. functionaris voor gegevensbescherming
Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?
Welk bewijs van deskundigheid heeft hij?
9. rapportageverplichtingen
Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?
Schets uw gerelateerde processen.
10. documentatie
Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?
Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.
Privacy Nieuws
39 procent van de grote Nederlandse bedrijven was volgens het Centraal Bureau voor de Statistiek (CBS) in 2016 slachtoffer van een cyberaanval. Het betreft dan bedrijven met meer dan 250 medewerkers.
Het CBS maakte de cijfers vrijdag bekend in de Cybersecuritymonitor 2018.
DDOS-aanval
Onder een cyberaanval valt onder meer een DDoS-aanval, waarbij een server wordt bestookt met enorme hoeveelheden dataverkeer.
Gijzelsoftware
Ook gijzelsoftware (malafide software die bestanden versleutelt en losgeld eist) en phishing (pogingen om via e-mail inloggegevens of andere informatie te verkrijgen) worden tot dit soort incidenten gerekend.
Bij ongeveer een kwart (24 procent) van de cyberaanvallen van buitenaf werden gegevens vernietigd of beschadigd.
Grote bedrijven die door een cyberaanval werden getroffen, hadden in 6 procent van de gevallen te maken met openbaar gemaakte bedrijfsinformatie.
9 procent kleine bedrijven getroffen door cyberaanval
Zo’n 18 procent van de middelgrote bedrijven (tien tot vijftig werknemers) werd twee jaar geleden getroffen door een cyberaanval.
Bij kleine bedrijven (twee tot tien medewerkers) was het aandeel 9 procent.
De incidenten leidden bij middelgrote en kleine bedrijven in respectievelijk 11 en 4 procent van de gevallen tot verminkte of verdwenen data.
Ten onrechte openbaar geworden informatie kwam bij middelgrote en kleine bedrijven bij respectievelijk 2 en 1 procent van de cyberaanvallen voor.
3 en 2 procent van de middelgrote en kleine bedrijven had in 2016 te maken met personeel dat interne informatie over het bedrijf openbaar heeft gemaakt.
Bij grote bedrijven kwam dat ongeveer bij één op de zes (17 procent) bedrijven voor.
Privacy Nieuws
Nederlanders zijn nauwelijks bekend met de inhoud van de nieuwe privacyrechten die zij met de nieuwe Europese privacywet hebben gekregen. Dit blijkt uit het onderzoek Een Beetje Privacy Graag van accountantsbureau KPMG.
Het onderzoek Een Beetje Privacy Graag is uitgevoerd onder ruim 1.000 Nederlandse burgers. Bijna iedere Nederlander, 98%, blijkt inmiddels op de hoogte van de AVG.
“Iets meer dan 80% zegt volmondig ‘ja’ op de vraag of zij op de hoogte zijn van de invoering van de AVG”, zegt Koos Wolters, partner bij KPMG en deskundige op het gebied van privacy.
Bijna 20 procent heeft gehoord van AVG
“Bijna 20% heeft er wel eens van gehoord. Als wij kijken naar de resultaten van het onderzoek dat wij vlak voor de invoering van de wet hebben uitgevoerd, dan zien wij een duidelijke stijging.”
In maart van dit jaar was ruim 80% van de Nederlanders niet bekend met de invoering van de AVG.
Van de Nederlanders die nu met veel overtuiging aangeven bekend te zijn met de wet, weet ruim 60% echter niet welke nieuwe rechten zij hebben gekregen.
Weinig animo om data te laten verwijderen
Minder dan de helft van de ondervraagde Nederlanders zegt gebruik te willen maken van het recht om organisaties en bedrijven te benaderen om persoonsgegevens te laten verwijderen.
Wolters: “Burgers die wel gebruik maken van hun nieuwe rechten richten hun pijlen met name op de overheid en zorgaanbieders om persoonsgegevens te kunnen inzien.”
Twitter en Facebook
Als het gaat om het laten verwijderen van persoonlijke data voeren bedrijven als Facebook en Twitter de ranglijst aan.
Ruim 30% van de Nederlanders geeft aan gebruik te willen maken van het recht op vergetelheid bij de sociale media.
In dat kader is het opvallend dat slechts 5% zijn Facebook account heeft verwijderd nadat bekend werd dat persoonlijke gegevens op grote schaal op straat waren komen te liggen.
Mensen maken zich wel zorgen over privacy, mast doen er niets aan
Aan de ene kant maken veel mensen zich duidelijk zorgen over het feit dat gegevens misbruikt worden, aan de andere kant maken zij nauwelijks gebruik van de mogelijkheden die er zijn om hun privacy beter te waarborgen.
De beperkte belangstelling voor het waarborgen van de privacy uit zich ook in de wijze waarop veel Nederlanders vlak voor het van kracht worden van de AVG zijn omgegaan met de stortvloed aan privacyverklaringen.
Privacyverklaringen worden niet serieus bekeken
Zo’n 40% heeft de e-mails met privacyverklaringen nauwelijks serieus bekeken.
Ruim 20% geeft aan dat zij alleen de privacyverklaringen hebben gelezen van organisaties waarvan zij het belangrijk vinden dat zij zorgvuldige met persoonlijke gegevens omgaan, zoals verzekeringsmaatschappijen, zorgaanbieders en de overheid.
Voorzorgsmaatregelen nauwelijks benut
Hoewel bijna 70% van de Nederlanders privacy zeer belangrijk vindt en meer controle wil op het internet, worden voor de hand liggende maatregelen in beperkte mate genomen.
Wolters: “Minder dan de helft verwijdert inmiddels browsercookies en minder dan 40% beheert de zichtbaarheid van persoonlijke informatie op de sociale media.”
Gebruikersnamen en wachtwoorden om sites te bezoeken worden door minder dan 40% van de Nederlanders met regelmaat gewijzigd.
Bijna niemand leest privacyregelement op websites
Slechts 18% leest bij een bezoek aan een website het privacyreglement en niet meer dan 11% de meldingen over cookies.
En ook andere mogelijkheden worden relatief onbenut gelaten.
Bijna 20% heeft de incognito modus in de webbrowser geactiveerd om te voorkomen dat gebruikers van dezelfde computer het internetgedrag kunnen volgen.
De mogelijkheid tot encryptie, één van de meest effectieve manieren om te voorkomen dat persoonlijke informatie door buitenstaanders kan worden gelezen, wordt door niet meer dan 15% gebruikt.
Privacy Nieuws
De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.
De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.
De CSU-webshop is momenteel niet meer bereikbaar.
Politiek gemotiveerde hack?
Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.
Politieke voorkeur valt onder hogere risicoklasse in AVG
De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.
De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.
In dat geval is er duidelijk sprake van nalatigheid bij de CSU.
Webshop CSU is gebouwd met Magento software
De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.
Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.
De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.
Hackers wisten dat ze alleen contactgegevens konden buitmaken
Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.
De hackers konden op deze manier alleen namen en postadressen onderscheppen.
De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.
Wereldwijd 40.000 Magento shops geinfecteerd met Magecart
“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”
Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.
Privacy Nieuws
De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.
Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.
Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.
Onduidelijk wie verantwoordelijk is voor privacybeleid
Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.
Dertien procent heeft geen idee wie dit is.
Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.
Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).
Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.
Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.
Privacy Nieuws
Volgens het nieuwe Trendsrapport van de Anti-Phishing Working Group (APWG) steeg het aantal phishingaanvallen in het eerste deel van 2018 met 46 procent ten opzichte van eind 2017.
De APWG is in 2003 is opgericht als wereldwijde coalitie van het bedrijfsleven, rechtshandhaving en de overheid. De organisatie richt zich internationale bestrijding van cybercrime door phishing.
In het eerste kwartaal van 2018 werden volgens de APWG in totaal 263 538 phish’s ontdekt. Dat is een stijging ten opzichte van de 180.577 in het vierde kwartaal van 2017.
Het was ook beduidend hoger dan 190.942 die in het derde trimester van 2017 worden gezien.
De phishing-aanvallen van begin 2018 waren meer gericht op gebruikers van onlinebetalingsdiensten dan in welke andere sector dan ook, en waren goed voor 39% van alle phishing-aanvallen.
MarkMonitor, lid van APWG, zag ook een bescheiden toename van phishing gericht op SAAS/webmail-providers (19 procent van het totaal) en sites voor het hosten en delen van bestanden (11 procent).
De volledige tekst van het verslag is hier beschikbaar:
https://docs.apwg.org/reports/apwg_trends_report_q1_2018.pdf.
Sommige phishers pasten hun tactiek in de eerste helft van 2018 aan.
“In het eerste kwartaal van 2018 was er een duidelijke toename van het aantal URL-detecties vanaf februari tot en met maart, maar het aantal unieke phishingdomeinen bleef gelijk”, zegt Stefanie Ellis, Marketing Manager fraudeproducten van MarkMonitor.
“Deze toename van URL’s is grotendeels toe te schrijven aan URL’s voor eenmalig gebruik. Deze unieke URL’s worden automatisch gegenereerd door phishers zodat slachtoffers een eenmalige toegang hebben tot een unieke phishing-URL”.
APWG lid RiskIQ analyseerde welke domeinnamen door phishers werden gebruikt.
“Omdat cybercriminelen zich richten op de kosten-batenanalyse van hun activiteiten, registreren ze hun domeinen graag bij de goedkoopste, meest voorkomende registrars”, aldus Yonathan Klijnsma, hoofdonderzoeker bij RiskIQ.
“Dit is de reden waarom het phishing-domeingebruik vaak correleert met het marktaandeel van topleveldomeinen en waarom de webhosters die geassocieerd worden met phishingwebsites – waarvan er veel afkomstig zijn van gecompromitteerde websites – typisch de grootste zijn. Zo was GoDaddy, in het eerste kwartaal van 2018 de grootste hostingprovider, ook de topregistrator die met phishing te maken kreeg.
APWG-lid PhishLabs houdt toezicht op het gebruik van HTTP-bescherming op phishing-websites. In het tweede kwartaal van 2018 werd meer dan een derde van de phishingaanvallen gehost op websites met HTTPS- en SSL-certificaten, wat een weerspiegeling vormt van de algemene toename van de invoering van HTTPS op het internet.
“Volgens het patroon dat we de afgelopen 18 maanden hebben gezien, blijft het percentage phishingsites van HTTPS groeien en omvat het nu meer dan een derde van alle aanvallen wereldwijd”, zegt Crane Hassold, PhishLabs Director of Threat Intelligence.
“Hoewel een deel van deze stijging te wijten is aan de algemene invoering van HTTPS op het web, is een groot deel van deze trend aangewakkerd door dreigers die kwaadaardige domeinen registreren en gratis SSL-certificaten verkrijgen om hun phishingsites legitiemer te doen lijken. Naarmate browsers negatievere visuele indicatoren toevoegen die ervoor zorgen dat algemene webgebruikers minder vertrouwen krijgen in HTTP-websites, verwachten we dat deze trend zich voortzet en waarschijnlijk nog zal versnellen.”
Op 11-12 september 2018 wordt er in de Poolse hoofdstad Warschau een Europees symposium over wereldwijd bewustzijn van cyberveiligheid gehouden:
Over de APWG:
Het lidmaatschap van de APWG staat open voor gekwalificeerde financiële instellingen, online retailers, ISP’s en Telcos, de rechtshandhavingsgemeenschap, solution providers, multilaterale verdragsorganisaties, onderzoekscentra, handelsverenigingen en overheidsinstanties.
Wereldwijd nemen ruim 2.200 bedrijven, overheden en NGO’s deel aan de APWG.
De websites www.apwg.org en education.apwg.org van APWG bieden publiek, bedrijfsleven en overheid praktische informatie over phishing en elektronisch gemedieerde fraude, maar ook aanknopingspunten voor pragmatische technische oplossingen die directe bescherming bieden. APWG is medeoprichter en mede-manager van de Stop. Denk. Verbinden. Boodschappenconventie, de wereldwijde online veiligheid publiek bewustzijn samen te werken <https://education.apwg.org/safety-messaging-convention/> en oprichter / curator van de eCrime-onderzoekers Top, ’s werelds enige peer-reviewed conferentie gewijd specifiek aan elektronische criminaliteit studies <www.ecrimeresearch.org>.
APWG adviseert hemisferische en mondiale handelsgroepen en multilaterale verdragsorganisaties zoals de Europese Commissie, de G8 High Technology Crime Subgroup, het Verdrag inzake cybercrime van de Raad van Europa, het VN-Bureau voor Drugs en Misdaad, de Organisatie voor Veiligheid en Samenwerking in Europa, Europol EC3 en de Organisatie van Amerikaanse Staten.
Privacy Nieuws
Niet alleen de Autoriteit Persoonsgegevens, maar ook de Nationale ombudsman doet onderzoek naar de verwerking van persoonsgegevens.
De ombudsman heeft bekendgemaakt een onderzoek te zijn begonnen naar de manier waarop de overheid om gaat met persoonsgegevens van burgers.
De focus van de Nationale Ombudsman ligt op de zogeheten ketenoverleggen tussen verschillende overheidsinstanties waarin gegevens van burgers worden gedeeld.
Aanvragen zorg
Het gaat bijvoorbeeld om gemeenten die burgers helpen bij een vraag om zorg of ondersteuning.
Wat mogen burgers van de overheid verwachten?
De vraag die in dit onderzoek centraal staat is: Wat mogen burgers van de overheid verwachten als het gaat om het bieden van maatwerk en dienstverlening in relatie tot het waarborgen en respecteren van de privacy?
Ketenoverleg ten behoeve van het oplossen of voorkomen van problemen voor de burger en het bieden van maatwerk, vindt de ombudsman een goede ontwikkeling.
Maar hij vindt het ook van belang dat het burgerperspectief binnen het ketenoverleg gewaarborgd is en dat de burger in kwestie betrokken is bij wat er met zijn of haar gegevens gebeurt.
Over het onderzoek
Dit onderzoek uit eigen beweging maakt deel uit van het onderzoeksprogramma van de Nationale ombudsman.
De ombudsman gaat voor het onderzoek in gesprek met burgers wiens gegevens binnen overheidsketens worden gedeeld.
Ook praat hij met overheidsinstanties die onderdeel uitmaken van ketenoverleggen. De ombudsman verwacht zijn onderzoek in december 2018 af te ronden.
Privacy Nieuws
75 procent van de bedrijven wil investeren in technologie waarmee ze beter kunnen voldoen aan de Europese privacyregelgeving GDPR.
80 procent van de bedrijven maakt zich zorgen of leveranciers van marketingtechnologie zich wel houdt aan de privacywet.
Dat blijkt uit wereldwijd onderzoek dat het internationale onderzoeksbureau Demand Metric heeft gedaan in opdracht van Demandbase, marktleider op het gebied van account-based marketing (ABM).
Demandbase wilde inzicht krijgen in de manier waarop marketeers omgaan met gevoelige persoonsgegevens.
Het onderzoek werd ongeveer een maand na het verstrijken van de GDPR-deadline van 25 mei 2018 uitgevoerd.
Er werden tussen 13 juni – 28 juni 2018 wereldwijd 255 marketeers ondervraagd. De meerderheid van de respondenten is werkzaam bij organisaties met 20 tot 10.000 werknemers bij zakelijke/beroepsmatige diensten, consultancy, onderwijs, financiële diensten, gezondheidszorg, internet, productie, marketing, non-profit, detailhandel, telecommunicatie en andere bedrijfstakken.
23 procent van marketeers weet nog niets van de Europese privacyregels.
Uit het onderzoek blijkt volgens Demandbase dat 23 procent van de ondervraagde marketeers nog niets wist van de nieuwe Europese privacyregels.
Slechts 32 procent van de ondervraagde organisaties zou momenteel volledig voldoen aan de GDPR-regelgeving.
68 procent van de bedrijven is momenteel in overtreding. Zij moeten nog vele stappen zetten.
Van de bedrijven die op de hoogte zijn van het GDPR, geeft slechts 32 procent van de marketeers aan dat hun bedrijven volledig GDPR-conform zijn.
Externe leveranciers worden gezien als een potentieel groot risico. 80 procent van de ondervraagden maakt zich zorgen dat hun leveranciers van marketingtechnologie hun bedrijf kunnen blootstellen aan juridische risico’s omdat ze niet voldoen aan de GDPR-richtlijnen.
Marketeers moeten nog veel leren over GDPR
Uit de enquêteresultaten blijkt dat marketeers na het verstrijken van de GDPR-deadline nog veel te leren en uit te voeren hebben. De respondenten van de enquête gaven een opsomming van de belangrijkste GDPR-uitdagingen voor marketeers:
- Begrijpen van de GDPR (57%)
- Gegevensbeheer (44 procent)
- Toestemming van gebruikers verkrijgen (40 procent)
- Technologische barrières (37 procent)
Geen enkel bedrijf wil zaken doen met een bedrijf dat een aansprakelijkheidsrisico kan opleveren.
GDPR naleving is vooral belangrijk voor de B2B industrie omdat geen enkel bedrijf zaken wil doen met een ander bedrijf dat een risico op aansprakelijkheid kan worden”, zegt Fatima Khan, Chief Privacy Officer bij Demandbase.
De meeste ondervraagde bedrijven (60 procent) hebben de internationale benadering van privacy sinds de invoering van de GDPR gewijzigd. Met name in Europa en Noord-Amerika worden ingrijpende wijzigingen in marketingstrategien doorgevoerd.
GDPR geen eenmalige compliance-actie
“Bedrijven moeten erkennen dat de GDPR geen eenmalige compliance-actie is, maar het begin van een continu proces van herevaluatie van de naleving van privacy naarmate technologieën en dataprocessen evolueren”, aldus Khan.
“Desondanks geloof ik dat deze privacy veranderingen uiteindelijk meer transparantie zullen creëren en nieuwe kansen zullen bieden voor marketing afdelingen om meer betrokken, duidelijk en klantgericht te zijn.”
Driekwart van bedrijven tevreden met GDPR
Uit het onderzoek blijkt dat 86 procent van de organisaties de bescherming van gegevens van een significante tot een matige mate waardeert, waarbij klantenverwachtingen (73 procent) en wettelijke verantwoordelijkheden (72 procent) als belangrijkste redenen worden genoemd.
Meer dan 90 procent van de respondenten is van mening dat het waarborgen van gegevensprivacy hun marketingteam zal helpen vertrouwen op te bouwen bij klanten en ook hun marketingteam zal helpen een betere klantervaring te leveren.
Demandbase
Demandbase is marktleider op het gebied van account-based marketing (ABM). Het bedrijf biedt het enige op kunstmatige intelligentie gebaseerde, uitgebreide ABM-platform dat reclame, marketing, verkoop en analyse omvat.
Enterprise-leiders en snelgroeiende bedrijven zoals Accenture, Adobe, DocuSign, GE, Salesforce en anderen gebruiken Demandbase om hun ABM-strategie te sturen en hun marketingprestaties te maximaliseren.
In 2016 werd het bedrijf uitgeroepen tot Gartner Cool Vendor voor Tech Go-To Market.
