Privacy Nieuws
British Airways moet een boete van 204 miljoen euro betalen wegens een groot datalek. De boete is opgelegd door de Britse Autoriteit Persoonsgegevens (AP), de Information Commissioner’s Office (ICO). De luchtvaartmaatschappij maakte de boete zelf bekend.
Het is de hoogste boete die de Britse AP tot nu toe heeft opgelegd, en de eerste die is uitgereikt onder de nieuwe Europese privacywetgeving.
British Airways werd in augustus 2018 getroffen door een grote hackaanval, waarbij creditcardgegevens van 380.000 klanten werden gestolen. De aanval nam twee weken tijd in beslag, tot de hackers op 5 september konden worden geblokkeerd.
Naast creditcardgegevens werd ook andere privé-informatie van de slachtoffers gestolen. De luchtvaartmaatschappij benadrukte dat er geen paspoorten zijn ontvreemd.
Een woordvoerder van het luchtvaartbedrijf vertelt aan BBC “verrast en teleurgesteld” te zijn door de opgelegde boete. De organisatie gaat in beroep tegen het boetebesluit.
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) geldt niet alleen voor Europese bedrijven, maar ook voor alle bedrijven buiten de EU die via internet producten of diensten aanbieden aan Europeanen. Zoals de Amerikaanse krant Washington Post.
De Amerikaanse krant is door de Britse Autoriteit Persoonsgegevens (Information Commissioner’s Office – ICO) op de vingers getikt omdat de krant de Europese cookieregels zou overtreden.
Tal van Amerikaanse kranten zijn sinds de invoering van de AVG online niet meer bereikbaar voor Europeanen. De Amerikaanse uitgevers willen niet investeren in maatregelen om te voldoen aan de Europese privacyregels.
De Washington Post is nog wel bereikbaar voor Europese lezers, maar dat zou binnenkort ook zomaar afgelopen kunnen zijn. De Britse waakhond heeft de Amerikanen gesommeerd om hun cookiebeleid aan te passen.
ICO deed onderzoek naar het cookiebeleid van de Wahington Post na een klacht van een Europese lezer.
De Amerikaanse krant biedt drie cookieopties, maar slechts één daarvan – de duurste, die $9 per maand kost – stelt lezers in staat om tracking en cookies uit te schakelen.
Lezers die gebruik willen maken van de optie om een beperkt aantal artikelen van de Washington Post gratis te lezen kunnen de cookies en tracking echter niet uitschakelen.
En ook lezers
die $6 per maand betalen om onbeperkt artikelen te kunnen lezen kunnen dat alleen doen als zij akkoord gaan met cookies en tracking.
Deze cookievoorwaarden zijn volgens ICO in strijd met de Algemene Verordening Gegevensbescherming. Daarin staat dat een klant wel daadwerkelijk een keuze moet kunnen maken. En die toestemming moet vrijelijk kunnen worden gegeven. Daarom mag de toestemming voor de cookies of tracking geen voorwaarde zijn voor toegang tot de site.
De bezoekers van de Washington Post heeft geen keuze. Het is slikken of stikken.
Omdat de Washington Post geen gratis alternatief heeft geboden voor het accepteren van cookies kan de toestemming volgens de Britse toezichthouder ICO niet vrij worden gegeven en is het cookiebeleid daarom ongeldig.
“We hebben hen verteld dat ze er nu voor moeten zorgen dat gebruikers van de website van de Washington Post de mogelijkheid hebben om toegang te krijgen tot alle abonnementsniveaus zonder dat ze cookies hoeven te accepteren”, meldt ICO.
Het is volgens Britse privacydeskundigen nu interessant wat de ICO gaat doen als de Washington Post zich niets aantrekt van de waarschuwing. De Amerikaanse uitgever valt namelijk buiten de jurisdictie van de Britse toezichthouder.
“We hopen dat de Washington Post ons advies ter harte zal nemen, maar als ze ervoor kiezen om dat niet te doen, kunnen we niets meer doen met betrekking tot deze kwestie”, beaamt ICO.
Critici zetten vraagtekens bij de actie van ICO tegen de Washington Post. Zij wijzen er op dat de Britse toezichthouder kampt met gebrek aan mankracht en financiele middelen en zich daarom beter eerst op Britse privacyproblemen kan richten. Er ligt momenteel bovendien al veel extra druk op de organisatie vanwege het onderzoek in het Facebook/Cambridge Analytica onderzoek, waar 70 mensen aan werken.
AVG boetes, Privacy Nieuws
De Britse Autoriteit Persoonsgegevens (Information Commissioner’s Office – ICO) pakt de telemarketingbranche aan. ICO heeft een AVG boete van bijna 250.000 Euro opgelegd aan twee telemarketingbedrijven die regels voor elektronische marketing, privacy en elektronische communicatie hebben overtreden.
De Britse toezichthouder zegt al geruime tijd te worden overstroomd met klachten over irritante telefoontjes en spam van telemarketingbedrijven. ICO is daarom in augustus begonnen met gericht onderzoek naar overtredingen in de telemarketingbranche.
Ruim honderd Britse telemarketingbedrijven hebben naar aanleiding van deze onderzoeken waarschuwingen ontvangen. En twee bedrijven hebben nu forse boetes opgelegd gekregen.
ACT Response Ltd uit Middlesborough en Secure Home Systems in de West Midlands waren samen verantwoordelijk voor 580.802 onrechtmatige telefoongesprekken. De bedrijven moeten van de ICO nu voor de Kerstdagen 220.000 Britse pond (bijna 250.000 Euro) boete betalen.
De boetes zijn volgens de ICO een duidelijke waarschuwing voor de hele directmarketingbranche. “Deze boetes moeten alarmbellen laten rinkelen en marketingbedrijven in alle sectoren afschrikken die contact opnemen met mensen zonder hun toestemming”, zegt manager Andy Curry die verantwoordelijk is voor handhavingsbeleid van de ICO.
“De wet is er niet voor niets. Die is er om de privacy van mensen te beschermen en ervoor te zorgen dat marketingbedrijven zich aan de wet houden. Marketingbedrijven die zich niet aan de regels houden, kunnen een robuuste handhaving verwachten.”
Beide bedrijven kunnen een korting van 20 procent krijgen als ze voor 28 november betalen.
Toezichthouders in Duitsland geven eveneens aan veel klachten over telemarketingbureaus te krijgen.
Privacy Nieuws
Hackers hebben tussen 15 en 19 oktober geprobeerd in te breken op de website van de Eurostar sneltrein. Miljoenen reizigers die regelmatig van deze snelle spoorverbinding door de Kanaaltunnel gebruik maken moeten daarom nu hun wachtwoord voor de Eurostar.com website wijzigen.
Eurostar heeft dat in een e-mail aan de getroffen klanten bekend gemaakt. Daarnaast is er een datalekmelding gedaan bij de Autoriteit Persoonsgegevens (AP) van Groot Brittannie, de Information Commissioner’s Office (ICO).
De Eurostar is een hogesnelheidstreindienst die sinds 1994 Londen met Parijs en Brussel verbindt. De trein maakt gebruik van de Kanaaltunnel die onder het Kanaal door loopt. De treindienst maakt grotendeels gebruik van de mede hiervoor aangelegde hogesnelheidslijnen.
Volgens Eurostar kunnen klanten er zeker van zijn dat er geen creditcard of betalingsgegevens zijn buitgemaakt.
“We raden u aan om uw Eurostar-wachtwoord opnieuw in te stellen en te controleren of er iets ongewoons op uw account staat. We raden u ook aan om uw inloggegevens bij te werken op andere websites waar u hetzelfde wachtwoord gebruikt”, meldt Eurostar in het e-mailbericht aan de klanten.
Het is nog niet duidelijk hoe de cybercriminelen zich toegang hebben verschaft tot de wachtwoorden van de gebruikers.
Eurostar maakt geen melding van een klantendatabase die in verkeerde handen is gevallen. Deskundigen sluiten niet uit dat de inloggegevens afkomstig zijn van een hack bij een andere online dienst.
Als dat het geval is, dan heeft degene die achter de hack op de Eurostar-rekeningen zit, er van geprofiteerd dat veel mensen dezelfde wachtwoorden op meerdere websites gebruiken.
Een van de belangrijkste lessen bij Privacy Awareness Trainingen is om voor ieder account een ander wachtwoord te gebruiken. Als je dat nog niet gedaan hebt is het ongeacht de hackpoging bij Eurostar zaak om nu meteen alle wachtwoorden voor sites, apps en andere online diensten te wijzigen.
Zorg ervoor dat je nooit hetzelfde wachtwoord op verschillende websites gebruikt. Gebruik een wachtwoordmanager om sterke, moeilijk te kraken, unieke wachtwoorden te genereren en laat dit systeem deze moeilijke wachtwoorden vervolgens voor je onthouden.
Privacy Nieuws
Facebook moet in Groot-Brittannië een boete van 570.000 euro betalen voor privacyschendingen die aan het licht kwamen door het Cambridge Analytica schandaal.
Facebook heeft geluk dat de overtredingen plaatsvonden voor de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Daardoor valt de boete veel lager uit.
De oude privacywetgeving maakt een maximale maximale boete van 570.000 euro mogelijk. Onder de AVG had de ICO een maximale boete van omgerekend 19 miljoen euro kunnen opleggen of 4 procent van de wereldwijde omzet.
Cambridge Analytica was een privaat Brits-Amerikaans databedrijf dat datamining, data-analyse en direct marketing bundelde met strategische communicatie voor verkiezingscampagnes.
In maart 2018 werd een schandaal rond Cambridge Analytica en de Facebook-organisatie onthuld. In het bijzonder gaat het daarbij over de vraag in hoeverre laatstgenoemd platform bewust meewerkte aan illegale manipulatie van de gegevens van miljoenen Facebook-gebruikers ten behoeve van de Trump-campagne in 2016.
Een dag later werd er aanvullend een in het geheim opgenomen film uitgezonden door de Britse tv-zender Channel 4, waarin CEO Nix van Cambridge Analytica uitlegt hoe ze politieke tegenstanders misleiden en dat ze prostituees inzetten als politiek chantagemiddel.
De Britse privacytoezichthouder ICO stelde naar aanleiding van het Cambridge Analytica schandaal een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers ontechtmatig verwerkte.
Facebook apps hadden zonder toestemming toegang tot gegevens
Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven.
Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan.
Facebook ging ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde.
Gegevens vaan 87 miljoen Facebook gebruikers
Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen.
Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden.
Zo werd het moederbedrijf van Cambridge Analytica pas in 2018 van Facebook geweerd.
Facebook heeft gefaald bij beschermen privacy van gebruikers
“Facebook heeft voor, tijdens en na het onrechtmatig verwerken van deze gegevens gefaald in het voldoende beschermen van de privacy van gebruikers. Een bedrijf van deze omvang en expertise had beter moeten weten en had beter moeten doen”, zegt Elizabeth Denham, de Britse Information Commissioner.
Privacy Nieuws
Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.
De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.
Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”
Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.
AVG is volgens Aleid Wolfsen best ingewikkeld
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”
De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”
Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd
De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.
Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.
De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.
Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.
Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).
Privacy Nieuws
De Britse toezichthouder ICO heeft een boete van £ 140,000 (156.000 Euro) opgelegd aan Lifecycle Marketing (Mother and Baby) Ltd, ook bekend als Emma’s Diary, voor het illegaal verzamelen en verkopen van persoonlijke gegevens van meer dan een miljoen mensen ten behoeve van een politieke campagne van de Labour Party.
De gegevensbemiddelaar, die adviseert over zwangerschap en kinderopvang, verkocht de informatie aan Experian Marketing Services, een onderdeel van het kredietreferentiebureau, speciaal ten behoeve van de Labour Party.
Experian creëerde vervolgens een database die de partij gebruikte om de nieuwe moeders te profileren in de aanloop naar de Algemene Verkiezing 2017.
Ondertussen heeft de ICO ook aangekondigd onderzoek te doen naar de manier waarop de Britse politieke partijen omgaan met persoonsgegevens van kiezers. In juli 2018 is er een uitgebreide notitie over dit onderzoek op de site van de ICO gepubliceerd.
Privacy Nieuws
De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.
Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.
Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.
In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).
De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.
Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.
Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.
Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.
Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.
Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.
Je kunt het ICO-jaarverslag hier downloaden.
