Gemeente Oldambt overtreedt Algemene Verordening Gegevensbescherming. Persoonsgegevens vergunningaanvrager gepubliceerd

De Oost-Groninger gemeente Oldambt heeft geblunderd bij de publicatie van de aanvraag van een vergunning. Daarbij werden privacygevoelige gegevens als e-mailadres, mobiel nummer en zelfs het burgerservicenummer (BSN) op de site van de gemeente gepubliceerd, meldt RTV Noord. De gemeente heeft de Algemene Verordening Gegevensbescherming (AVG) overtreden.
De gegevens zijn intussen van de site verwijderd.

De aanvrager van de vergunning is volgens RTV Noord ‘oprecht heel erg boos’ op de gemeente Oldambt. “Dit biedt zoveel mogelijkheden tot fraude, het gaat mij echt een stap te ver”, laat hij weten.
Met name de publicatie van de BSN-gegevens kan grote gevolgen hebben. Het Burger Service Nummer van de vergunningaanvrager kan nu door kwaadwillenden misbruikt worden voor identiteitsfraude bij officiele instanties.

Menselijke fout

Wethouder Laura Broekhuizen van de gemeente Oldambt heeft met de aanvrager gebeld en namens de gemeente haar excuses aangeboden.

Volgens de gemeente Oldambt is zijn de persoonsgegevens online gekomen door een menselijke fout. “Ons aanvraagsysteem werkt met twee versies van een document. Het ene bevat alle gegevens, het andere alleen de gegevens die wij publiceren. Een medewerker heeft per ongeluk het verkeerde document geplaatst.”

De gemeente Oldambt onderzoekt hoe voorkomen kan worden dat medewerkers nogmaals dezelfde fout maken. “Wij willen ook met buurgemeenten in gesprek om te vragen wat zij wel en niet doen. Aan de ene kant wil je transparant zijn, aan de andere kant wil je de gegevens beschermen”, aldus de gemeente.

Oldambt gaat ook uitzoeken of de fout als een datalek moet worden gezien. Zo ja, dan moet de gemeente dat doorgeven aan de Autoriteit Persoonsgegevens.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

Volgens de AVG zijn organisaties verplicht om binnen 72 uur nadat een ernstig datalek is ontdekt hiervan melding te doen bij de AP. Ernstig duidt niet op de omvang van het datalek, maar op de impact die het lek kan hebben voor de betroffenen. In Oldambt betreft het slechts één slachtoffer, maar gelet op de risico’s van identiteitsfraude met het gelekte BSN-nummer is het lek wel ernstig.

Overtreedt uitvaartorganisatie Dela de AVG door ongevraagd vingerafdrukken van overledenen te verwerken? Nee! Belachelijk?

Uitvaartorganisatie Dela kwam zaterdag in opspraak door berichtgeving van het consumentenprogramma Radar. Dela bleek sinds september voor commerciele doeleinden vingerafdrukken van overledenen af te nemen.

Meteen werd op social media om onderzoek door de Autoriteit Persoonsgegevens (AP) geroepen. Ten onrechte.

Nota bene gevoed door een onzorgvuldige jurist en onzorgvuldige gemakzuchtige knip-en-plakjournalisten die weekenddienst hadden bij landelijke media.

Vingerafdrukken zijn toch persoonsgegevens?

Dan moet er toch rekening gehouden worden met de Algemene Verordening Gegevensbescherming (AVG)? Dat die vraag meteen door het hoofd spookt bij veel mensen lijkt logisch. Vingerafdrukken zijn immers biometrische persoonsgegevens.

Mag een commerciele uitvaartorganisatie dan zomaar vingerafdrukken afnemen om die te verwerken in sieraden die uit winstbejag aan rouwende nabestaanden worden verkocht?

Mensen die nooit om toestemming zijn gevraagd of die vingerafdrukken überhaupt mochten worden afgenomen?

Radar stelde die vraag ook aan een deskundige. Advocaat Eric Osinga van Osinga Advocatuur werd benaderd als deskundige en gaf antwoord. En ging de fout in. “Dit mag niet zonder de nabestaanden vooraf om toestemming te vragen”, aldus Osinga. “Een vingerafdruk valt namelijk onder persoonsgegevens die je niet zonder toestemming mag verwerken. Die toestemming moet ook nog eens heel duidelijk zijn gegeven.”

Advocaat had beter moeten weten

Osinga had als advocaat beter moeten en kunnen weten. Hij had zich niet als advocaat moeten laten verleiden om in de media uitspraken te doen over zaken waar hij niet in is gespecialiseerd. Of hij had zich beter moeten voorbereiden. Een zoekopdracht was voldoende geweest.

Bij de eerste les over de AVG wordt behandeld wat persoonsgegevens zijn. Vingerafdrukken van dode mensen vallen daar niet onder. Het staat klip en klaar in de wet en op de site van de Autoriteit Persoonsgegevens onder de kop Wat zijn persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

 

Identiteitsfraude na de dood

Dat de vingerafdrukken van een overledene niet onder de AVG vallen is ogenschijnlijk best wel vreemd, omdat met deze biometrische gegevens ook na de dood nog identiteitsfraude gepleegd kan worden. Met vingerafdrukgegevens van doden zouden kwaadwillenden bijvoorbeeld nog smartphones kunnen unlocken en zo aankopen en betalingen kunnen doen.

 

Dood ben je geen persoon meer

De AVG is echter glashelder. Eenmaal dood ben je geen persoon meer. Dit is klip en klaar geen zaak voor de Autoriteit Persoonsgegevens. Dat had de deskundige die Radar benaderde ook moeten weten.

De Radar redactie valt niets te verwijten. Die deed navraag bij iemand waarvan verwacht mocht worden dat hij expertise heeft. Toch?

Radar had ook beter moeten weten. Waarom heeft de redactie Osinga eigenlijk benaderd? Niet iedere advocaat is meteen ook AVG-deskundige. Osinga is niet gespecialiseerd in privacywetgeving. Dat staat ook duidelijk op zijn website:

“Nadat ik ruim tien jaar als advocaat heb gewerkt, werd het tijd voor een eigen kantoor. Op 1 februari 2016 is Osinga Advocatuur te Utrecht opgericht. Mijn specialisatie is zorgverzekeringsrecht en algemeen verzekeringsrecht.”

Naambordjesaffaire Duitsland en Oostenrijk

De vingerafdrukkenaffaire heeft wel iets weg van de naambordjesdiscussie in Duitsland en Oostenrijk. Een ‘deskundige’ waarvan verwacht wordt dat hij op de hoogte is van de AVG geeft onjuist advies en zorgt daarmee vervolgens voor een mediagolf met onjuiste berichten. Iedereen roeptoetert elkaar in de media en op social media niet gehinderd door enige kennis na en zorgt daardoor voor onterechte verontwaardiging over de AVG of de toezichthouder die niets doet.

Advocaat vs advocaat

Advocaat Dirk-Jan de Bruin ergert zich net als Privacyzone aan advocaat Osinga die de redactie van Radar en de luisteraars en bezoekers van de website van het consumentenprogramma verkeerd informeert over de AVG. Hij zorgt daarmee voor veel ruis over de AVG.

De Bruin is in tegenstelling tot Osinga wel gespecialiseerd in privacyrecht.

De Bruin heeft mogelijk ook goede connecties in de journalistiek. Hij wordt op Twitter gevolgd door misdaadjournalist Mick van Wely van de Telegraaf, die zijn carriere ooit begon bij Dagblad van het Noorden.

De Bruin ziet overigens afgezien van de vingerafdrukken wel een ander aanknopingspunt op basis waarvan nabestaanden toch een klacht kunnen indienen op basis van de AVG.

“De vingerafdruk zelf zegt niets over de familieleden (in tegenstelling tot bijv. resultaten van erfelijkheidsonderzoek op (weefsel van) overleden personen)”, schrijft De Bruin op Twitter. “Toenadering van de nabestaanden voor een commercieel aanbod moet verder conform de AVG en de Telecommunicatiewet.”

Kortom: Mag Dela na de begrafenis nabestaanden commercieel benaderen om andere producten te verkopen? Of had Dela daar schriftelijk toestemming voor moeten vragen bij het afsluiten van de overlijdensrisicopolis of het accepteren van de opdracht om de begrafenis van een dierbare te verzorgen?

De gevolgen van knip-en-plak journalistiek

Diverse landelijke media plegen knip-en-plak journalistiek en nemen het bericht van Radar zonder het zelf te checken of van meerwaarde te voorzien klakkeloos letterlijk over. Vervolgens gaan mensen op social media er mee aan de haal.

Volkomen onnodig, want net als Osinga had iedere serieuze journalist met een eenvoudige zoekactie op Google kunnen achterhalen dat vingerafdrukken van overledenen volgens de AVG geen persoonsgegevens zijn. De uitleg van de Autoriteit Persoonsgegevens staat bovenaan de zoekresultaten bij de zoekopdracht ‘overleden AVG’.

Handelswijze Dela uiterst bedenkelijk

Ondertussen blijft de handelwijze van Dela natuurlijk bedenkelijk. Een uitvaartorganisatie die om commercieel gewin zonder enig gevoel de eer van overledenen schendt gaat duidelijk over lijken.

Logisch dat verbolgen mensen pleiten voor juridisch onderzoek. Alleen is de Algemene Verordening Gegevensbescherming daar niet geschikt voor. Maar misschien is het wel de moeite waard om Dela aan te klagen wegens grafschennis.

Wat is grafschennis?

Grafschennis is opgenomen in artikel 149 Wetboek van Strafrecht. Het artikel luidt als volgt: “Hij die opzettelijk een graf schendt of enig op een begraafplaats opgericht gedenkteken opzettelijk en wederrechtelijk vernielt of beschadigt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.”

Net als bij de AVG is de eerste reactie op basis van de letter van de wet nu natuurlijk dat de overledene nog niet in een graf lag toen de vingerafdrukken werden afgenomen. En dus kan er dan geen sprake zijn van grafschennis.

Jurisprudentie over grafschennis

Maar er staat op de website Problemenmetjustitie.nl ook interessante jurisprudentie over het wetsartikel dat over grafschennis gaat.

“De rechter heeft ook een echtgenoot die het graf van zijn overleden partner open heeft gemaakt om haar nog even vast te kunnen houden, veroordeeld voor grafschennis.”

Als een rouwende partner bestraft wordt omdat hij of zij om emotionele redenen nog een keer de hand van zijn overleden maatje wil vasthouden zou je toch denken dat het logisch is dat een uitvaartorganisatie als Dela ook wordt bestraft voor het om commerciele redenen aantasten van de waarde van overledenen. Dat is toch evengoed grafschennis.

Wanneer is er sprake van een graf?

Het gaat hier eigenlijk om de definitie graf. Wanneer is er sprake van een graf? Zou je kunnen stellen dat iemand in zijn graf ligt zodra hij in een lijkkist ligt? Het zou in deze zaak interessant zijn om daar een uitspraak van een rechter over te krijgen.

De les van dit artikel is dat de AVG niet een wet is die te pas en te onpas overal automatisch bij betrokken kan worden. Dat hebben goede privacymanagers tijdens hun opleiding geleerd. Ze leerden ook dat ze behalve naar de AVG ook rekening moeten houden met andere wetten en toezichthouders. En deskundig extern advies moeten vragen voor zaken waar ze niet voor geleerd hebben.

Melden van grafschennis

In dit geval adviseert PrivacyZone nabestaanden van overledenen waarvan Dela vingerafdrukken heeft afgenomen om deze zaak bijvoorbeeld aan te kaarten via een advocaat of via Centraal Meldpunt Nederland. “Vermoedens dat iemand zich schuldig heeft gemaakt aan grafschennis door een grafroof te plegen of vernieling aan te richten kunt u melden via Centraal Meldpunt Nederland: Meld.nl”, staat er op deze website.

Deepfake porno. Cybercriminelen kunnen jouw gezicht in een seksfilm projecteren

Cybercriminelen hoeven je computer niet meer te hacken om je te chanteren met een seksvideo waarin jij de hoofdrol speelt. Ook als jij nooit porno kijkt en nooit een seksvideo hebt opgenomen.

Dankzij deeplearning videosoftware kunnen hackers jouw gezicht levensecht op het lijf van een pornoacteur in een seksfilm projecteren…

Sommige mensen vinden dat misschien prachtig. Voor de meeste mensen is het een traumatisch schrikbeeld.

De technische term voor dergelijke manipulatie is Deepfake. De techniek maakt het mogelijk om de gezichtsgegevens van de ene persoon uit video’s te lezen, te leren en over te dragen op een andere persoon in een andere video.

Nieuwe vorm van identiteitsdiefstal of manipulatie

Sinds kort is deze vorm van ‘identiteitsdiefstal’ of manipulatie dankzij deeplearning technisch beschikbaar.

Oud-president Barack Obama weet wat er mogelijk is dankzij de nieuwe videotechniek. Het Youtube-kanaal Buzzfeed plaatste een video waarop het beeld van Obama over dat van een acteur is gelegd. De acteur laat de president dingen zeggen die hij nooit zou zeggen.

De video is inmiddels miljoenen keren bekeken op YouTube.

 

Pornosite Naughty America gaat deepfake techniek vermarkten

Naughty America, een van de grootste pornosites op het internet, wil de techniek nu commercieel vermarkten. De pornosite biedt zijn gebruikers deze optie als dienst aan.

Naughty America creëert de illusie dat de kijker seks heeft in een pornofilm door zijn of haar gezicht te projecteren op het gezicht van een acteur of actrice.

Als je je eenmaal geregistreerd hebt als klant van Naughty America moet je een hele reeks foto’s en video-opnamen van de gewenste persoon uploaden, waarna de site de seksmanipulatie in gang kan zetten.

Hoe weet Naughty America of de video van degene is die ze upload?

Grote vraag is dan natuurlijk hoe de pornosite weet of de aangeleverde beelden van degene zijn die ze uploadt.

Kunnen cybercriminelen of flauwe grapjassen straks willekeurig beeldmateriaal van anderen uploaden?

Kunnen ook foto‘s en video‘s van social media gebruikt worden?

Stel dat er videobeeldmateriaal van jou van Youtube, Vimeo, Instagram of Facebook wordt geplukt… kan dat dan ook gebruikt worden?

Ja, dat kan! Deskundigen slaan hierover alarm. De handleidingen en de software zijn vrij op het internet te vinden.

Volgens Naugty Amarica moet degene die de beelden aanlevert aan kunnen tonen zelf de rechten te bezitten. Je zou niet zo maar videomateriaal van een ex of een leraar kunnen uploaden.

Maar hoe wordt dat dan gecontroleerd?

En, nog erger, zijn er hackers die de beschikking hebben over dezelfde software?

Ja, de software is op internet te vinden.

Hoe meer videomateriaal je aanlevert, des te beter kan het computerprogramma het nieuwe gezicht met zijn karakteristieke eigenschappen – of andere lichaamsdelen – leren kennen en integreren in het nieuwe lichaam.

Bizar: Je moet gedichten lezen en gezichten trekken voor de camera.

Met behulp van “Deeplearning”-programma’s mengen de IT-specialisten vervolgens frame voor frame de shots in één van de 12.000 pornofilms in de collectie van de website.

Deepfake pornofilm kost 180 Euro

Naighty America vraagt 180 Euro voor het produceren van een Deepfake pornofilm. Als je je eigen video laat produceren, kost dat ongeveer 11.000 euro.

Wanneer de film klaar is en afgeleverd, wordt deze van de servers verwijderd. Volgens Naughty America wordt zo voorkomen dat de fakeporno in verkeerde handen kan vallen.

Dat klinkt nobel, maar is natuurlijk een illusie. Want de fakeseksfilm kan uiteindelijk natuurlijk alsnog in verkeerde handen vallen. Pornoportalen als Naughty America zijn groot geworden dankzij seksfilms die van smartphones en computers van exen en beroemdheden zijn geript.

Patricia Paay weet er alles van,

Technologie Deepfake video wordt voortdurend verbeterd

Je kunt niet alleen het gezicht, maar ook de locatie waar een scene speelt aanpassen. Je kunt de achtergrond wijzigen. Volgens het bluescreen-principe, zoals bijvoorbeeld bij het weerbericht in het Journaal wordt gebruikt, kunnen gebruikers, afhankelijk van de fetisj, porno in de Tweede Kamer, op de Mount Everest of in hun eigen slaapkamer spelen.

De techniek is indrukwekkend en beangstigend tegelijk. Welke impact gaat dit hebben op onze privacy? Op cybercrime? Voor de wereldvrede?

Stel dat er een fake-oorlogsverklaring van een deepfake Donald Trump online komt…

Identiteitsfraude door selfie op Instagram met pas behaald rijbewijs

Je hebt net je rijbewijs behaald. Bent trots als een pauw. Wat doe je dan als jongere in deze moderne tijd? Precies! Dan schreeuw je het trots van de daken met een selfie op Instagram.

Maar dat blijkt niet zo handig. Door de selfie wordt je BSN nummer over het internet verspreid. Cybercriminelen maken daar dankbaar gebruik van. Voor identiteitsfraude.

Op het darkweb verkopen criminelen volgens RTL Nieuws selfies waarop Nederlandse jongeren met hun net behaalde rijbewijs met BSN te zien zijn.

Identiteitsfraude is een flink groeiende vorm van online criminaliteit waarvan het aantal slachtoffers elk jaar verdubbelt.

In de afgelopen maanden hebben meer dan vijftig jongeren een selfie met hun rijbewijs op Instagram geplaatst. Het gaat hoogstwaarschijnlijk om honderden potentiële slachtoffers, blijkt uit onderzoek van RTL Nieuws.

#geslaagd

Jongeren plaatsen de selfie om te laten zien dat ze zijn geslaagd voor hun rijexamen, met het rijbewijs als bewijs.

 

De foto’s worden veelal getagd met woorden als #rijbewijs, #geslaagd of #rijbewijsgehaald, waardoor ze voor kwaadwillenden gemakkelijk te vinden zijn.

Instagram ondersteunt al jaren foto’s in hoge kwaliteit. De gegevens op het rijbewijs zijn daardoor vaak goed leesbaar.

Op online zwarte markten op het darkweb, het verborgen gedeelte van het internet waar onder andere drugs, wapens en kinderporno worden verhandeld, bieden criminelen deze selfies te koop aan. De prijzen variëren tussen de 50 en 80 euro voor een pakket met enkele tientallen selfies. Een rijbewijsselfie wordt gemiddeld voor zo’n 2,50 euro per stuk doorverkocht.

Identiteitsfraude

De rijbewijsselfies duiken met name op bij Marktplaatsfraude. De crimineel biedt onder de naam van het slachtoffer bijvoorbeeld een smartphone aan. Om het vertrouwen van de koper te winnen, wordt een selfie met identiteitsbewijs opgestuurd.

Zodra de koper betaalt, verdwijnt de crimineel met het geld, en de persoon op de selfie wordt vervolgens als oplichter bestempeld en aan de publieke schandpaal genageld.

Marktplaats en andere handelswebsites zijn populaire platformen voor identiteitsfraude, zegt het Centraal Meldpunt Identiteitsfraude en -fouten (CMI).

Zo vragen criminelen verkopers van producten om hun identiteit te bevestigen voordat ze de betaling overschrijven.

Nadat de verkoper een foto van zijn identiteitsbewijs heeft opgestuurd, verdwijnt de crimineel en sluit vervolgens een duur telefoonabonnement of naam van het slachtoffer af.

Het gaat jaarlijks om vele honderden gevallen van deze vorm van oplichting, en dat aantal blijft maar groeien, zo stelt het CMI.

Kopie rijbewijs

De Haarlemse Wilfred trapte in de Marktplaatstruc, vertelt hij tegen RTL Nieuws. Hij bood voor 35 euro de schoenen van zijn vrouw te koop aan, en een geïnteresseerde koper wilde ze wel overnemen. Of hij even zijn rijbewijs kon opsturen, want de koper had wat vervelende ervaringen gehad en wilde zeker weten dat Wilfred de schoenen op zou sturen. Hij stemde in.

Snel daarna werd er een telefoonabonnement op zijn naam afgesloten.

‘Het kan me niets schelen’

RTL Nieuws heeft de 53 mensen van wie hun rijbewijsselfie op Instagram te vinden is, geïnformeerd over de gevaren. Een deel verwijderde daarop hun selfie, zoals studente Lara: “Hier had ik helemaal niet over nagedacht, dankjewel”, stuurde ze in een privébericht.

Sommigen lijken echter niet bang te zijn voor eventuele identiteitsdiefstal: “Het kan me echt niets schelen”, zegt studente Julia desgevraagd. Het overgrote deel van de gecontacteerde mensen heeft na een maand nog niet gereageerd.

KopieID

Volgens het CMI worden steeds meer zaken online gedaan en vindt er minder identificatie in persoon plaats aan de balie: “Hierdoor is het makkelijker je voor te doen als een ander.”

Op die manier lukt het criminelen om bijvoorbeeld telefoonabonnementen of bankrekeningen op iemand anders naam te openen. Ook worden identiteitsbewijzen veelvuldig gebruikt om anderen op te lichten, waarschuwt het CMI.

Het CMI raadt mensen aan om geen kopie van een identiteitsbewijs aan particulieren te geven, en alleen aan organisaties met een wettelijke taak, zoals je bank of werkgever. Moet je toch een kopie van je identiteitsbewijs geven, bijvoorbeeld als je een auto wil huren? Dan kun je de app KopieIDgebruiken om een veilige kopie van je rijbewijs, identiteitsbewijs of paspoort te maken. En tot slot: zet nooit een foto of selfie van identiteitsbewijs op sociale media.