EDPS, Europese Toezichthouder voor gegevensbescherming, Privacy Nieuws, privacywet
Overheden die gebruik maken van diensten van Microsoft vertreden volgens de Europese Toezichthouder voor gegevensbescherming (EDPS) de privacywet. De privacywaakhond schrijft dat in een persbericht.
De EDPS schrijft dit bericht naar aanleiding van een lopend onderzoek naar de risico’s voor de privacy van Europese burgers als overheidsinstellingen diensten van Microsoft gebruiken.
De voorlopige conclusie van de toezichthouder is dat de contracten tussen Microsoft en overheidsinstellingen de gegevensbescherming van Europese burgers onvoldoende waarborgen.
De toezichthouder haalt hierbij een onderzoek aan uit juni 2019 van het Nederlandse ministerie van Justitie en Veiligheid. Hieruit bleek dat verschillende Microsoft-producten te veel data verzamelden van gebruikers.
Microsoft heeft daarop de nodige aanpassingen moeten aanbrengen in hun software. Het ging hierbij om Windows 10 en Microsoft Office.
De EDPS schrijft dat overheidsinstellingen in andere lidstaten hier ook scherp op moeten zijn en ze door het gebruik van de software van Microsoft mogelijk nog niet voldoen aan de privacywetgeving.
Om de privacy van Europese burgers beter te beschermen heeft de EDPS een forum opgericht waar lidstaten kunnen overleggen over het gebruik van software.
Privacy Nieuws
De Duitse overheid blijkt net als de Nederlandse overheid te hebben ontdekt dat Microsoft niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG).
Uit het Duitse onderzoek blijkt dat de problemen niet alleen bij de Microsoft software voor de overheid, maar ook bij de versies voor de zakelijke markt en consumenten spelen.
Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) onderzoekt systeemintegriteit, logging en beveiligingsfuncties van Windows 10. Net als in Nederland zijn er ook in Duitsland problemen geconstateerd met telemetriefuncties in de software. Microsoft stuurt zonder toestemming voortdurend gebruikersgegevens naar Amerika.
De analyses van de BSI omvatten componenten zoals de Trusted Platform Module (TPM), VBS/DeviceGuard, Windows PowerShell, de Application Compatibility Infrastructure, driver management en PatchGuard.
Volgens de BSI heeft de in Windows 10 ingebouwde telemetriecomponent uitgebreide mogelijkheden om toegang te krijgen tot systeem- en gebruiksinformatie en deze naar Microsoft te sturen.
Hoewel gebruikers verschillende telemetrie niveaus kunnen instellen, is het niet mogelijk om de verzonden informatie duidelijk toe te wijzen aan deze niveaus. Windows laadt de configuratiegegevens meerdere malen per uur en wijst de bestaande telemetriebronnen dynamisch toe tijdens het gebruik.
Zelfs de configuratie van het laagst mogelijke telemetrie-niveau verhindert volgens het BSI-onderzoek de gegevensoverdracht niet volledig. Dit geldt zowel voor het niveau 0 (beveiliging) dat beschikbaar is in de Windows-edities van de onderneming als voor het minimumniveau 1 (eenvoudig) dat mogelijk is in de consumentenversies.
Een volledige preventie van het verzamelen en verzenden van telemetriegegevens door Windows is technisch mogelijk, maar voor de eenvoudige gebruiker moeilijk te implementeren, schrijft de BSI.
In het document “Analyse van de telemetriecomponent in Windows 10” (PDF/Eng.) vergelijkt BSI verschillende benaderingen met betrekking tot effectiviteit, uitvoerbaarheid en verwachte bijwerkingen.
De in detail beschreven systeeminterventies omvatten het afsluiten van bepaalde diensten, het deactiveren van zogenaamde ETW-sessies (Event Tracing voor Windows) of het onderdrukken van de communicatie met Microsoft-servers via firewallregels of DNS-manipulaties.
Privacy Nieuws
Inwoners van de gemeente Emen profiteren dankzij de Algemene Verordening Gegevensbescherming (AVG) van effectievere mobiele diensten zoals onderhoud, toezicht en inspecties.
De gemeente Emmen investeerde in technische maatregelen om mobiele apparaten op afstand te kunnen lokaliseren, te blokkeren en te wissen.
Dienstverlening externe partijen ook beter dankzij AVG
Bijkomend voordeel van de investering in oplossingen van de Amerikaanse Mobile Device Management (MDM)-leverancier MobileIron is dat daardoor niet alleen de veiligheid en efficiëntie van de gemeentelijke in- en externe communicatiekanalen geoptimaliseerd is, maar ook de dienstverlening en de samenwerking met externe partijen.
Gemeenteambtenaren kunnen nu onderweg informatie of nieuwe verzoeken ontvangen, waar zij voorheen pas terug op kantoor hun e-mail konden lezen en nieuwe bezoeken inplannen.
Verder werkt gemeente Emmen nu ook efficiënter en veiliger samen met regionale overheidsinstellingen.
AVG en Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
MobileIron heeft gemeente Emmen geholpen te voldoen aan de eisen van de AVG en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
Emmen koos in 2012, toen het management met iPads wilde werken, voor de oplossingen van Mobile Device Management (MDM)-leverancier MobileIron.
In 2016 breidde de gemeente de samenwerking met het Amerikaanse bedrijf uit toen zij met alle apparaten overstapte van Blackberry naar iOS.
Recent werd de inzet van MobileIron uitgebreid om te voldoen aan de vereisten van de BIG en GDPR ten aanzien van (mobiele) beveiliging en toegangsbeheer.
Vereenvoudiging interne communicatie bij gemeente
In de beveiligingsstrategie zijn ook interne apps opgenomen, zoals iBabs voor papierloze vergaderingen, PowerMobiel voor case-management, MyLex Overheid voor het doorzoeken van interne databases en ISEC7 om verschillende mailboxen op Apple-apparatuur te installeren.
Alle apps worden centraal beheerd en aangeboden via een veilige appstore. Voor het toegangsbeheer wordt gebruikgemaakt van op rollen gebaseerde authenticatie.
De gemeente biedt haar medewerkers daarnaast toegang tot een intern telefoonboek met ‘click to dial’-functionaliteit ter vereenvoudiging van de interne communicatie.
1200 iPhones en 600 iPads
Emmen beheert met MobileIron momenteel meer dan zeshonderd iPads en zo’n twaalfhonderd iPhones. Ze is daarnaast bezig met een migratie naar Microsoft Office 365 en een project om veilig Windows 10-apparaten te registeren en beheren met MobileIron Bridge.
Privacy Nieuws
Minister Hugo de Jonge (CDA) van Zorg heeft een wetsvoorstel ingediend om zorgfraude te bestrijden, maar daarvoor moeten wel medische gegevens van patiënten gedeeld worden met onder meer gemeenten en de Belastingdienst. Artsen zijn daar mordicus op tegen.
Aantasting van het medisch beroepsgeheim en aantasting van de privacy van de patiënt.
“Wij denken dat het een aantasting van het medisch beroepsgeheim is, en een aantasting van de privacy van de patiënt”, zegt voorzitter René Heman van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG). Dit is een federatie van beroepsverenigingen van artsen die de belangen van artsen in Nederland behartigt.
Artsen zijn nu al verplicht beperkte medische gegevens van hun patiënten door te geven aan zorgverzekeraars. Het nieuwe voorstel geeft aan dat die gegevens ook weer met derden gedeeld kunnen worden. “Dat vinden wij geen goede zaak”, zegt Heman.
De gemeenten, de zorgverzekeraars, de zorgaanbieders, de FIOD, de Inspectie gezondheidszorg (IGZ), de Inspectie SZW, de belastingdienst, de zorgautoriteit NZA en de Sociale Verzekeringsbank worden straks verplicht om op verzoek (medische) gegevens aan te leveren aan een centraal informatiepunt.
Dit zogeheten Informatie Knooppunt Zorg (IKZ) zal op basis van een vermoeden van fraude bij de deelnemende organisaties relevante gegevens opvragen om dit vermoeden verder te onderzoeken.
Zodra het knooppunt een conclusie heeft getrokken wordt dit teruggekoppeld aan de deelnemende partijen, zodat deze daar vervolgens actie op kunnen ondernemen bij het bestrijden van fraude.
Het knooppunt gaat ook statistische rapportage en trendanalyses over fraude in de gemeentelijke zorg maken.
Bevechten van beroepsgeheim als principe
“Het bevechten van de grenzen van het beroepsgeheim blijft belangrijk, een principieel punt”, zegt huisarts Toosje Valkenburg uit De Bilt. Ondanks dat is Valkenburg niet tegen de intenties achter het plan. “Je gaat niemand vinden die zegt: wat een ontzettend goed idee, die fraude. Maar deze maatregel is niet proportioneel.”
Alternatieven voor wet
Heman geeft aan niet te snappen waarom er geen alternatieven worden gebruikt, in plaats van deze nieuwe wet. “We hebben twee jaar geleden een convenant gesloten over de inzet van onafhankelijke artsen. Zij maken van in beslag genomen gegevens een verslag, dat anonimiseren ze en dat gaat naar de overheidsinstellingen.”
Met dit plan is echter nog nooit iets gedaan. “Sinds 1 januari 2017 zijn zij in de lucht, maar ze zijn nog nooit ingezet door het Openbaar Ministerie.”
Privacy Nieuws
Niet alleen de Autoriteit Persoonsgegevens, maar ook de Nationale ombudsman doet onderzoek naar de verwerking van persoonsgegevens.
De ombudsman heeft bekendgemaakt een onderzoek te zijn begonnen naar de manier waarop de overheid om gaat met persoonsgegevens van burgers.
De focus van de Nationale Ombudsman ligt op de zogeheten ketenoverleggen tussen verschillende overheidsinstanties waarin gegevens van burgers worden gedeeld.
Aanvragen zorg
Het gaat bijvoorbeeld om gemeenten die burgers helpen bij een vraag om zorg of ondersteuning.
Wat mogen burgers van de overheid verwachten?
De vraag die in dit onderzoek centraal staat is: Wat mogen burgers van de overheid verwachten als het gaat om het bieden van maatwerk en dienstverlening in relatie tot het waarborgen en respecteren van de privacy?
Ketenoverleg ten behoeve van het oplossen of voorkomen van problemen voor de burger en het bieden van maatwerk, vindt de ombudsman een goede ontwikkeling.
Maar hij vindt het ook van belang dat het burgerperspectief binnen het ketenoverleg gewaarborgd is en dat de burger in kwestie betrokken is bij wat er met zijn of haar gegevens gebeurt.
Over het onderzoek
Dit onderzoek uit eigen beweging maakt deel uit van het onderzoeksprogramma van de Nationale ombudsman.
De ombudsman gaat voor het onderzoek in gesprek met burgers wiens gegevens binnen overheidsketens worden gedeeld.
Ook praat hij met overheidsinstanties die onderdeel uitmaken van ketenoverleggen. De ombudsman verwacht zijn onderzoek in december 2018 af te ronden.
Privacy Nieuws
Het kabinet heeft besloten dat overheidsinstanties geen gebruik meer mogen maken van de russische antivirussoftware van Kaspersky. De regering vreest dat dit programma door het Kremlin gebruikt wordt voor spionagedoeleinden.
Minister Ferdinand Grapperhaus van Justitie en Veiligheid adviseert het Nederlandse bedrijfsleven eveneens over te stappen op antivirussoftware van een ander merk.
De minister verwijst naar Russische wetgeving die bedrijven uit het land verplichten om de Russische inlichtingendiensten te ondersteunen als zij daarom vragen.
Kaspersky heeft eerder verklaard dat het bedrijf “geen enkele overheid helpt, of zal helpen, bij offensieve inspanningen in het digitale domein.”
Antivirussoftware heeft diepgaande toegang tot ict-systemen om computervirussen te bestrijden.
In Nederland zijn nog geen gevallen van russische spionage bekend via software van Kaspersky Lab.
Volgens The New York Times zouden Russische staatshackers de antivirussoftware van Kaspersky Lab wel gebruikt hebben om te spioneren in de Verenigde Staten.
Eugene Kaspersky, oprichter van het bedrijf, heeft banden met het Kremlin altijd ontkend.
