Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Meer actueel awareness nieuws

Nederlandse malware hunter ontdekt vlak voor verkiezingen in Beieren datalek in Magento webshop regeringspartij CSU

De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.

De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.

De CSU-webshop is momenteel niet meer bereikbaar.

Politiek gemotiveerde hack?

Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.

Politieke voorkeur valt onder hogere risicoklasse in AVG

De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.

 

De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.

In dat geval is er duidelijk sprake van nalatigheid bij de CSU.

Webshop CSU is gebouwd met Magento software

De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.

Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.

 

De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.

Hackers wisten dat ze alleen contactgegevens konden buitmaken

Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.

De hackers konden op deze manier alleen namen en postadressen onderscheppen.

De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.

Wereldwijd 40.000 Magento shops geinfecteerd met Magecart

“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”

Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.

Meer actueel awareness nieuws

Facebookaccounts 50 miljoen gebruikers gehackt. Facebook loopt risico op megaboete van 1,4 miljard Euro

Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.

Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.

Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?

Datalekprocedure Facebook

De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.

Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.

Wall Street Journal

Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.

Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.

Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.

Boete tot 1,4 miljard euro

Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.

Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.

Facebook heeft risico van datalek nog niet duidelijk gemaakt

De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.

Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.

Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie

Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.

Daar komt bij dat de Europese Commissie vorige week bekend heeft gemaakt dat er een groot onafhankelijk onderzoek naar het privacybeleid van grote bedrijven als Facebook is gestart. Dat onderzoek staat los van het aactuele datalek bij Facebook.

Bovendien werd vorige week onthuld dat Facebook oneigenlijk telefoonnummers van contacten van gebruikers verwerkt voor commerciele doeleinden. Ook als die contacten geen gebruik maken van Facebook.

En tenslotte waarschuwde Whatsapp oprichter Brian Acton in een interview met het tijdschrift Forbes dat Facebook doelbewust gebruikers misleidt. Hij stapte om die reden op bij Facebook.

Meer actueel awareness nieuws

Über betaalt 148 miljoen dollar boete voor verzwegen datalek

Taxidienst Über moet in de VS een enorm hoge boete betalen voor het verzwijgen van een hack van ongeveer 60 miljoen klantengegevens in oktober 2016.

De advocaat-generaal van New York, Barbara D. Underwood, maakte bekend dat Über in een schikking met de Amerikaanse autoriteiten een boete van 148 miljoen US dollar heeft aanvaard.

Het zou de hoogste boete te zijn die ooit in een dergelijke zaak is opgelegd. Daarnaast moet Über voldoen aan eisen om de gegevensbeveiliging te verbeteren.

Über gaf in november 2017 toe een losgeld van 100.000 US dollar te hebben betaald aan cybercriminelen die de systemen van de internationale taxidienst hadden gehackt.

Ze hadden toegang weten te krijgen tot een archief met gegevens van miljoenen chauffeurs en passagiers.

Later namen ze contact op met het Amerikaanse taxibedrijf en eisten ze een losgeld van 100.000 dollar voor de data die ze hadden buitgemaakt.

Het bestand bevatte de namen, e-mailadressen en telefoonnummers van meer dan 50 miljoen Uber-gebruikers.
De rijbewijzen van meer dan zeven miljoen taxichauffeurs was in handen van de cybercriminelen.

“Deze recordschikking geeft een duidelijke boodschap: we tonen geen tolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen,” legt Underwood uit.

Tony West, de hoofdrechter, sprak zijn tevredenheid uit in een verklaring dat hij een akkoord had bereikt met de kantoren van de openbare aanklager.

Volgens de huidige wetgeving had Uber ten minste de autoriteiten, maar mogelijk ook individuele klanten of bestuurders over het incident moeten informeren.

In het verleden moest de onderneming een boete betalen voor het niet correct melden van een inbraak.

Meer actueel awareness nieuws

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

Meer actueel awareness nieuws

#Browserwars! Microsoft vindt Firefox, Opera en Google Chrome ‘onveilig’ voor Windows 10. Verontwaardigde reacties

“Je hebt Microsoft Edge al: de veiligere, snellere browser voor Windows 10” staat te lezen in een pop-up die bètagebruikers van Windows 10 momenteel te zien krijgen.

De gebruiker kan vervolgens kiezen om Edge te openen, of alsnog een andere browser te installeren.

Er wordt op social media onder de hashtag hashtag #browserwars verontwaardigd gereageerd op de opmerkelijke popup van Microsoft.

 

 

 

Microsoft raadt bètagebruikers van Windows 10 op deze manier actief af om een andere browser te installeren. Er wordt gesuggereerd dat Firefox, Opera of Chrome onveilig zijn.

Microsoft was vroeger marktleider

Jaren geleden maakten vrijwel alle gebruikers van Microsoft standaard gebruik van de browser Microsoft Explorer die automatisch werd geinstalleerd.

De EU vond dat Microsoft misbruik maakte van zijn positie en daardoor concurrenten geen kans gaf.

Miljarden Euro boete voor Microsoft

Microsoft werd zwaar bestraft voor het misbruik van zijn dominante positie. Het Amerikaanse softwareconcern moest miljarden Euro aan boetes betalen.

Microsoft werd verplicht om zijn gebruikers bij de installatie van zijn software een keuzemogelijkheid voor andere browsers aan te bieden.

Google Chrome nu marktleider

Sindsdien heeft Microsoft qua browser flink marktaandeel verloren. Momenteel is Google Chrome marktleider.

Microsoft heeft inmiddels Explorer vervangen door de nieuwe browser Edge. Deze browser is volgens Microsoft sneller en veiliger dan de concurrentie.

Die claim is omstreden en nog niet bewezen.

De melding verschijnt voorlopig alleen in een Insider-build, een bètaversie van Windows 10. Microsoft gebruikt zulke previewversies vaker om nieuwe features te testen. Die verschijnen niet altijd in de definitieve versies van Windows.

Meer actueel awareness nieuws