Datalek Microsoft blijkt volgens Duits onderzoek groot probleem voor overheid, bedrijfsleven en consumenten

De Duitse overheid blijkt net als de Nederlandse overheid te hebben ontdekt dat Microsoft niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG).
Uit het Duitse onderzoek blijkt dat de problemen niet alleen bij de Microsoft software voor de overheid, maar ook bij de versies voor de zakelijke markt en consumenten spelen.

Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) onderzoekt systeemintegriteit, logging en beveiligingsfuncties van Windows 10. Net als in Nederland zijn er ook in Duitsland problemen geconstateerd met telemetriefuncties in de software. Microsoft stuurt zonder toestemming voortdurend gebruikersgegevens naar Amerika.

De analyses van de BSI omvatten componenten zoals de Trusted Platform Module (TPM), VBS/DeviceGuard, Windows PowerShell, de Application Compatibility Infrastructure, driver management en PatchGuard.

Volgens de BSI heeft de in Windows 10 ingebouwde telemetriecomponent uitgebreide mogelijkheden om toegang te krijgen tot systeem- en gebruiksinformatie en deze naar Microsoft te sturen.

Hoewel gebruikers verschillende telemetrie niveaus kunnen instellen, is het niet mogelijk om de verzonden informatie duidelijk toe te wijzen aan deze niveaus. Windows laadt de configuratiegegevens meerdere malen per uur en wijst de bestaande telemetriebronnen dynamisch toe tijdens het gebruik.

Zelfs de configuratie van het laagst mogelijke telemetrie-niveau verhindert volgens het BSI-onderzoek de gegevensoverdracht niet volledig. Dit geldt zowel voor het niveau 0 (beveiliging) dat beschikbaar is in de Windows-edities van de onderneming als voor het minimumniveau 1 (eenvoudig) dat mogelijk is in de consumentenversies.

Een volledige preventie van het verzamelen en verzenden van telemetriegegevens door Windows is technisch mogelijk, maar voor de eenvoudige gebruiker moeilijk te implementeren, schrijft de BSI.

In het document “Analyse van de telemetriecomponent in Windows 10” (PDF/Eng.) vergelijkt BSI verschillende benaderingen met betrekking tot effectiviteit, uitvoerbaarheid en verwachte bijwerkingen.

De in detail beschreven systeeminterventies omvatten het afsluiten van bepaalde diensten, het deactiveren van zogenaamde ETW-sessies (Event Tracing voor Windows) of het onderdrukken van de communicatie met Microsoft-servers via firewallregels of DNS-manipulaties.

Meer actueel awareness nieuws

70% bedrijven heeft geheugen en weggegooide harddiscs IT-apparatuur niet gewist en overtreedt dus de AVG

70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.

De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.

Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.

Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.

Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.

Vooral transportsector overtreedt de AVG

Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.

Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.

Top 10 bedrijfstakken die AVG overtreden

De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:

  • Vervoer – 72%
  • Verkoop en marketing – 62%
  • Productie – 59%
  • Nutsbedrijven – 58%
  • Detailhandel – 57%
  • Onderwijs – 54%
  • Vrije tijd en reizen – 49%
  • Gezondheidszorg en gastvrijheid – 45%
  • Handelaren / administratie – 44%
  • Voorlichting en communicatie – 39%

Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben

“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.

De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).

Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen

“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.

Meer actueel awareness nieuws

Forse boete overtreding privacywet. 48.000 Euro voor weigeren inzicht persoonsgegevens van 1 klant

De Autoriteit Persoonsgegevens heeft een bedrag van 48.000 euro geïnd van de vermogensbeheerder Theodoor Gilissen voor het overtreden van privacyregelgeving.

Theodoor Gilissen weigerde een van zijn klanten inzicht te geven in zijn persoonsgegevens. De klant wilde in 2016 weten welke gegevens de bank van hem had, waar ze vandaan kwamen en met wie de gegevens zijn gedeeld. Door die informatie niet te delen, overtrad de private bank de Wet Bescherming Persoonsgegevens (WPB). Dit was de voorloper van de AVG.

De Autoriteit Persoonsgegevens gaf Theodoor Gilissen na een onderzoek twee maanden de tijd om de gegevens alsnog te verstrekken.

12.000 Euro boete per week

Na die periode zou de bank een boete van 12.000 euro moeten betalen voor elke week dat de klant zijn gegevens niet te zien kreeg, met een maximum van 60.000 Euro.

Uiteindelijk kwam Theodoor Gilissen na vier weken over de brug.

Boetes kunnen nog hoger worden

Hoewel de boete die is opgelegd op basis van de oude privacywet WBP voor het benadelen van 1 klant in dit geval al fors lijkt zouden de boetes onder de nieuwe privacywet AVG nog eens fors hoger kunnen worden.

De Autoriteit Persoonsgegevens had in 2016 het boetemaximum net verdubbeld van 450.000 euro tot 900.000 euro.

Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG), of kortweg privacyverordening, van kracht. Op grond van deze verordening kunnen de volgende boetes worden opgelegd:

  1. een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  2. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
  3. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  4. een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

Geen drempel voor hoogte boete

In de privacyverordening zijn geen formele drempels opgenomen voor het opleggen van een boete. Wel bepaalt artikel 83 lid 2 AVG, kort gezegd, dat bij het opleggen van een boete rekening moet worden gehouden met alle omstandigheden van het geval.

Theodoor Gilissen is nu InsingerGilissen

Theodoor Gilissen is sinds zijn fusie met de private bank Insinger de Beaufort in 2017 actief onder de naam InsingerGilissen.

De uitspraak van de Autoriteit Persoonsgevens schept duidelijkheid over de boetes die in de praktijk uitgedeeld kunnen worden bij op zich “kleine” overtredingen van de AVG. Hier betrof het een klacht van slechts één klant van de bank.

Iedereen heeft privacyrechten

De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.

Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Reputatieschade

Meteen wordt ook duidelijk hoe schadelijk een boete voor de reputatie van een organisatie kan zijn.

De vermogensverstrekker had voordien een uitstekende naam. Theodoor Gilissen won in 2014 de Gouden Stier in de categorie ‘Vermogensbeheerder’. Net als in 2013 beoordeelde een onafhankelijke vakjury het door de private bank ingediende beleggingsvoorstel als beste.

Meer actueel awareness nieuws