Selecteer een pagina

Thuiswerken brengt hoog AVG veiligheidsrisico met zich mee

Door COVID-19 werken mensen massaal thuis. Voor werkgevers brengt dat een hoog AVG veiligheidsrisico met zich mee.

Uit onderzoek blijkt dat veel werknemers het veiligheidsbeleid van hun bedrijf omzeilen om productiever te zijn.

Thuiswerken heeft zowel voor- als nadelen voor de medewerkers zelf. Maar bedrijven zouden hun werknemers in het thuiskantoor nog meer moeten aanzetten tot het naleven van veiligheidsrisico’s, zo blijkt uit een studie.

Veel bedrijven zijn van plan om ook na het mogelijke einde van de pandemie door te gaan met de thuiskantoren.

Thuiskantoor: veiligheidsvoorschriften omzeild

Een onderzoek onder 2.000 thuiswerkers in Duitsland, Frankrijk, Groot-Brittannië en de VS, uitgevoerd door een marktinstituut in opdracht van de beveiligingsspecialist Cyber-Ark, moet bij privacymanagers en ICT-specialisten alle alarmbellen doen afgaan.

59 procent van de ondervraagden zei dat ze de veiligheidsvoorschriften van het bedrijf omzeilen om de productiviteit te verhogen. Zo sturen ze bijvoorbeeld bedrijfsdocumenten naar hun persoonlijke e-mailadressen of geven ze wachtwoorden door aan collega’s.

FBI en CISA melden dat Chinese hackers proberen onderzoeksgegevens COVID-19 vaccin te stelen

Chinese hackers proberen volgens de FBI en het Amerikaanse cybersecurityagentschap CISA “waardevolle intellectuele eigendoms- en volksgezondheidsgegevens” te identificeren en te stelen bij bedrijven en instellingen die werken aan geneesmiddelen en vaccins tegen Covid-19.

De berichtgeving van media over bedrijven die onderzoek doen naar geneesmiddelen en vaccins tegen Covid-19 zorgt ervoor dat deze bedrijven ook op de radar van Chinese cybercriminelen terechtkomen.

Volgens de FBI brengt de mogelijke diefstal van deze informatie de verstrekking van veilige, effectieve en efficiënte behandelingsmogelijkheden in gevaar.

De FBI doet daarom een beroep op onderzoeksbedrijven om hun digitale infrastructuur voor te bereiden op dergelijke aanvallen en om zwakke plekken in het systeem op te sporen en te elimineren.

Bovendien moet elke ongeoorloofde toegang, elk abnormaal gedrag rechtstreeks aan de autoriteiten worden gemeld.

Aanbevelingen FBI en CISA

  • Ga ervan uit dat persaandacht voor uw organisatie in verband met COVID-19-gerelateerd onderzoek zal leiden tot meer belangstelling en cyberactiviteit.
  • Patch alle systemen voor kritieke kwetsbaarheden, waarbij prioriteit wordt gegeven aan het tijdig patchen van bekende kwetsbaarheden van met het internet verbonden servers en software die internetgegevens verwerkt.
  • Scan webapplicaties actief op ongeautoriseerde toegang, wijziging of afwijkende activiteiten.
  • Verbeteren van de geloofsbrieven en vereisen multi-factor authenticatie.
  • Identificeren en opschorten van de toegang van gebruikers die ongewone activiteiten vertonen.

Opmerkelijke toename van cybercriminaliteit tegen vrouwen tijdens Corona crisis

Er is tijdens de Corona crisis een opmerkelijke toename van cybercriminaliteit tegen vrouwen. Het betreft vooral sextortion, zeggen deskundigen.

De deskundigen denken dat de gemelde cyberaanvallen op vrouwen slechts de ,,top van de ijsberg” tonen.

“We hebben van 25 maart tot 25 april in totaal 412 echte klachten over cybermisbruik ontvangen. Daarvan waren maar liefst 396 klachten van vrouwen ernstig, (en deze) varieerden van misbruik, onfatsoenlijke blootstelling, ongevraagde obscene foto’s, bedreigingen, kwaadaardige e-mails die beweren dat hun account gehackt was, losgeldeisen, chantage en meer,” zegt de oprichter van de Akancha Foundation, Akancha Srivastava.

De organisatie werkt aan onderwijs en empowerment van mensen door kennis over cyberveiligheid over te dragen.

Srivastava zei dat ze nu gemiddeld 20-25 van dergelijke klachten per dag krijgt, terwijl het aantal voor de lockdown minder dan 10 per dag was.

Met name de meldingen van ,,sextortion” zijn gestegen.

Sextortion is het afpersen van geld of seksuele gunsten van iemand door te dreigen met het onthullen van bewijs van hun seksuele activiteit door middel van middelen zoals morphed beelden.

Onmiddellijk na de lockdown was er een stijging van het aantal gevallen van verkeerde informatie, nepnieuws en vrouwen die online worden gedupeerd wanneer ze op malware-links klikken die al hun informatie aan de telefoon krijgen, de camera en de microfoon aanzetten en hun intieme momenten vastleggen. Deze worden dan gebruikt voor chantage.

Veel vrouwen willen in deze gevallen geen officiële klachten indienen, omdat ze zich zorgen maken over het sociale stigma dat eraan verbonden is. Daarom denken de deskundigen dat de gemelde cyberaanvallen op vrouwen officiële slechts het topje van de ijsberg tonen.

Vandana Verma, oprichter van InfoSec Girls, zegt dat de mensen thuis werken en veel tijd doorbrengen op het internet en cybercriminelen daar innovatief misbruik van maken.

De cybercriminelen verzenden bijvoorbeeld specifieke phishing e-mails of thema e-mails over COVID-19 en hengelen zo naar vertrouwelijke gegevens zoals adres, telefoonnummers. Deze e-mails lijken afkomstig te zijn van betrouwbare bronnen zoals de overheid, maar zijn in werkelijkheid fake.

Daarnaast creëren de cybercriminelen valse profielen en nemen cyberpesten en online stalking momenteel toe.

De toenemende cyberaanvallen op vrouwen tonen hoe belangrijk het is om regelmatig AVG Awareness trainingen te geven. Juist actuele ontwikkelingen kunnen het besef van het belang van de AVG versterken.

Het veilig gebruiken van de digitale media, het creëren van een sterk wachtwoord en het verspreiden van bewustzijn over phishing-e-mails, nepvideo’s en het veilig delen van inhoud op het internet kan veel helpen bij het beschermen van vrouwen.

Deskundigen adviseren vrouwen om voorzichtig te zijn met sociale media. Vrouwen worden aangeraden om hun persoonlijke foto’s of gegevens niet te delen op sociale media, omdat het niet veilig is.

Privacy First fel tegen iedere Corona surveillance app

Privacy First schrijft in een opiniestuk in de Telegraaf “fel tegen iedere Corona surveillance-app te zijn en al zeker tegen een die het medisch beroepsgeheim ondermijnt.”

“Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur”, schrijft Privacy First. “Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking.”

Stichting Privacy First is opgericht in 2008. Het statutaire doel van Privacy First luidt als volgt: Het behouden en bevorderen van het recht op privacy, alsmede de persoonlijke vrijheid van leefomgeving, op welke wijze dan ook, onder meer door het in rechte optreden voor alle burgers in Nederland ter bescherming van dit algemene belang; en het verrichten van al hetgeen met voornoemd doel in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

Tevens zal het volgens Privacy First niet bij deze app blijven. “Er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.”

“In ons rechtssysteem is het heel simpel”, zegt Privacy First. “We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken?”

“De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd.”

“Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?”

Naast doelbinding zijn volgens de Algemene Verordening Gegevensbescherming (AVG) noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. “In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht”, stelt voorzitter Bas Filippini,
van Privacy First.

“Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?”

Een ander vereiste in de AVG is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er?

“Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?”, zegt Filippini.

“Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.”

De conclusie van de voorzitter van Privacy First: “Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.”

Gepubliceerd in de zaterdageditie van De Telegraaf, 11 april 2020: https://www.telegraaf.nl/watuzegt/805422902/de-kwestie-zijn-corona-apps-een-zegen-of-een-vloek.

Mag een werkgever in verband met Corona voorzorgsmaatregelen de temperatuur van werknemers controleren?

Werkgevers bedenken allerlei middelen om hun organisatie tijdens de Corona crisis veilig te kunnen laten doorwerken. Daarbij mogen in geen geval medische gegevens worden verwerkt.

Het controleren van de lichaamstemperatuur van medewerkers of bezoekers is op basis van de Algemene Verordening Gegevensbescherming (AVG) bijvoorbeeld verboden.

De Autoriteit Persoonsgegevens (AP) krijgt veel vragen en klachten over werkgevers die de lichaamstemperatuur willen opnemen van werknemers of bezoekers, zoals vrachtwagenchauffeurs die goederen komen bezorgen.

Of een werknemer of bezoeker koorts heeft, valt echter onder medische gegevens, en dat is verboden terrein voor werkgevers. Zo’n maatregel is namelijk in strijd met de Algemene verordening gegevensbescherming (AVG).

Volgens de privacywetgeving mag de werkgever geen inzage hebben in de medische gegevens van zijn werknemers en mag hij gezondheidsgegevens ook zeker niet opslaan. Dit is voorbehouden aan een arts.

Inzage of verwerking van medische gegevens mag ook niet als de werknemer (of bezoeker) hier toestemming voor geeft. Bovendien heeft de OR instemmingsrecht (artikel 27, lid 1k van de Wet op de ondernemingsraden (WOR)), en die zal niet zomaar instemmen met een temperatuurmeting.

Een werkgever die preventief de temperatuur wil meten, is in overtreding. Hij schendt daarmee de privacy van de werknemer. Als de werkgever de OR om instemming vraagt, zal de OR om die reden dan ook geen instemming geven voor de voorgestelde maatregel van de werkgever.

Vangt de OR signalen op dat de werkgever van plan is om een temperatuurmeting in te voeren, dan kan de OR zijn initiatiefrecht (artikel 23, lid 3 WOR) inzetten om de werkgever direct op andere gedachten te brengen.

Voert de werkgever een temperatuurmeting in zonder enig overleg met de OR, dan kan de OR zijn besluit nietig verklaren en desnoods via de kantonrechter de werkgever ertoe dwingen om van de maatregel af te zien.

Een gang naar de rechter zet echter de relatie met de bestuurder op scherp. Het is daarom wel een uiterst redmiddel als onderling overleg geen vruchten afwerpt.

Autoriteit Persoonsgegevens is even minder streng tijdens Corona crisis

De Autoriteit Persoonsgegevens (AP) geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar de toezichthouder blijft ingrijpen waar privacy echt in gevaar is.

‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’, zegt AP-voorzitter Aleid Wolfsen.

‘En op nummer twee staat het voorkomen van grote schade aan economie en maatschappij. Overheden en ziekenhuizen zijn dag en nacht in touw om te zorgen dat burgers en patiënten veilig zijn. Bedrijven zijn bezig te overleven en te zorgen dat zij banen kunnen behouden voor al hun mensen.

Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm. Nederland zet de schouders eronder en wij werken en denken mee.’

Ruimte voor bestrijden crisis

De AP zal organisaties nu ruimte geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis.

Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval goed kijken wat passend is en wat niet.

‘Verder geven wij ruim baan aan de broodnodige initiatieven om de capaciteit van de zorg op niveau te krijgen’, zegt Wolfsen. ‘Zo klopte een zorgorganisatie bij ons aan met een plan om mensen die tot een paar jaar geleden in de zorg werkten, te benaderen om hen tijdelijk weer als arts of verpleegkundige in te zetten.

Dat lieten ze door een tussenpersoon doen en ze vroegen zich af of dit wel mag. Wij hebben meegedacht over een goede oplossing. Privacy moet goede zorg nooit in de weg zitten, zeker nu niet.’

Dat geldt ook voor het contact tussen artsen en patiënten. Wolfsen: ‘Wij krijgen vragen van huisartsen die noodzakelijke gesprekken moeten voeren met hun patiënten, maar die patiënten komen nu liever niet langs.

Veel zorgorganisaties hebben een manier om beveiligd te beeldbellen, maar sommige niet. Wij zeggen: gebruik als het echt niet anders kan consumentenapps als FaceTime of Skype. Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens.’

‘Geen big brother-maatschappij’

Privacy blijft heel belangrijk, vindt de AP. ‘We moeten blijven opletten’, zegt Wolfsen. ‘De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij.

Het zou doodzonde zijn als we over een jaar terugkijken en zien dat we alles ongedaan hebben gemaakt wat wij op het gebied van privacy in tientallen jaren hebben opgebouwd.

De AP is er als hoeder van het grondrecht op privacy en zal ook in deze tijden ingrijpen wanneer de privacy echt in gevaar is. Daar heeft de burger recht op. Zodat iedereen straks als vrij burger in een vrij land weer vrij kan leven.’