Privacy Nieuws
Ondanks end-to-endencryptie en de bewering van ceo Marc Zuckerberg dat Whatsapp de berichten van gebruikers niet kan meelezen, blijkt uit onderzoek van de non-profit nieuwsdesk “Pro Publica” dat de privacyrechten van gebruikers in de praktijk toch geschonden worden.
Het moederbedrijf Facebook betaalt naar verluidt meer dan 1 000 werknemers over de hele wereld om privéberichten te doorzoeken, te analyseren en te evalueren. Miljoenen van hen zijn al waargenomen.
Deze contractanten zijn gevestigd in Austin, Dublin en Singapore en zijn verantwoordelijk voor het voorlezen. Naast tekstberichten zullen ook afbeeldingen en video’s worden gemodereerd.
Dit wordt mogelijk gemaakt door de WhatsApp-rapportagefunctie. Dit betekent dat inhoud die eerder als fraude, spam, kinderporno of vermoedelijk terrorisme is gerapporteerd, wordt aangetast – hetzij door de gebruikers zelf, hetzij door het interne algoritme.
De WhatsApp moderators ontvangen niet alleen de gemelde inhoud, maar ook de 4 voorgaande berichten.
Facebook kan niet meeluisteren of meelezen met persoonlijke telefoongesprekken of privéberichten die via WhatsApp worden verstuurd, zo benadrukt het bedrijf.
Het nieuws zorgt opnieuw voor opschudding. Nog maar een paar jaar geleden beweerde Mark Zuckerberg dat de end-to-end encryptie WhatsApp-berichten zo veilig maakte dat niemand behalve de ontvangers – zelfs het bedrijf zelf niet – ze kon lezen.
AVG Awareness, AVG Corona, Privacy Nieuws
Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.
De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis.
Dit plan moet het mogelijk maken om zonder expliciete toestemming van patiënten medische dossiers te raadplegen via elektronische uitwisselingssystemen, zoals het Landelijk Schakelpunt (LSP).
Aanleiding: beoordeling patiënten
Patiënten komen tijdens de coronacrisis vaak bij een andere arts terecht dan hun eigen huisarts. Bijvoorbeeld op de huisartsenpost of de spoedeisende hulp.
Die arts moet vervolgens beoordelen welke behandeling de patiënt nodig heeft. Hiervoor moet de arts weten of de patiënt een verhoogd risico loopt door bijvoorbeeld hartproblemen. Deze medische informatie staat in het dossier van de huisarts.
Die beoordeling gaat nu te langzaam, stelt de minister. Dat komt omdat artsen het medisch dossier van een deel van de patiënten niet via een elektronisch uitwisselingssysteem kunnen bekijken.
Dit mag namelijk alleen als een patiënt hiervoor vooraf schriftelijk toestemming heeft gegeven. Er is een groep patiënten die nooit een keuze heeft gemaakt. En dus geen toestemming heeft gegeven of geweigerd.
Privacy patiënten respecteren
De AP begrijpt de wens om de regels te versoepelen. Tegelijkertijd wijst de AP erop dat óók tijdens crisistijd de privacy van patiënten wel moet worden gerespecteerd.
Medische gegevens zijn gevoelige, zeer persoonlijke informatie. Op die gegevens rust het medisch beroepsgeheim van de arts. Patiënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan.
Gevolgen voor patiënten
Door het plan van de minister verandert er niets voor mensen die al toestemming hebben gegeven of juist toestemming hebben geweigerd. In beide gevallen blijft die keuze gerespecteerd.
Daarnaast is er een grote groep mensen die nog geen keuze heeft doorgegeven. Het voorstel van de minister maakt het mogelijk dat hun medische gegevens kunnen worden uitgewisseld zonder dat zij daarvoor toestemming hebben gegeven. Het gaat daarbij niet om hun hele medische dossier, maar alleen om de professionele samenvatting.
De AP vindt dat acceptabel. Maar wel vindt de AP dat die patiënten in plaats daarvan ter plekke, op de huisartsenpost of spoedeisende hulp, toestemming moeten kunnen geven om daadwerkelijk hun medisch dossier bij de huisarts te raadplegen. Dit kan ook mondeling.
Is iemand niet in staat om ter plekke toestemming te geven? Bijvoorbeeld omdat diegene bewusteloos is? Dan mag de arts zonder toestemming van deze patiënt het medisch dossier bekijken.
Nadenken over keuze
De AP raadt mensen aan om nu goed na te denken over hun keuze, voordat zij mogelijk ziek worden. Hebben mensen eerder toestemming geweigerd? Dan moeten zij zich realiseren dat zorgaanbieders hierdoor mogelijk cruciale informatie missen, mochten zij op de spoedeisende hulp terechtkomen.
Wie eerder toestemming heeft geweigerd, kan dat namelijk niet ter plekke ongedaan maken. Het is dan onmogelijk om het medisch dossier te bekijken, omdat dit niet is opgenomen in het elektronische uitwisselingssysteem.
Dus mensen die hun keuze willen wijzigen, moeten dat vooraf doen. Dit kan via de huisarts of de website Volgjezorg.
AVG Awareness, Privacy Nieuws
Is het op basis van de AVG toegestaan dat werkgevers actuele mobiele telefoonnummers of andere contactgegevens van het personeel verzamelen om werknemers te kunnen waarschuwen of aan te sporen thuis te blijven in het geval van een fabriekssluiting of een soortgelijke gebeurtenis op korte termijn?
Veel organisaties willen een “intern communicatienetwerk” opzetten om afhankelijk van de pandemische fase van de Corona-crisis. Ze willen snel en efficient kunnen communiceren met hun personeel.
Dit mag volgens de AVG alleen met toestemming van de werknemer. Er is geen verplichting voor werknemers om privé-contactgegevens bekend te maken, maar het zal regelmatig in hun eigen belang zijn.
Doorslaggevend hierbij is dat het verzamelen van privé-contactgegevens voor duidelijke, concrete en legitieme doeleinden moet plaatsvinden. Het doel is met name het risico op infectie voor de werknemers te verminderen. Uiterlijk na afloop van de pandemie moeten de verzamelde contactgegevens door de werkgever worden gewist.
Het is niet toegestaan om de gegevens later “via de achterdeur” te gebruiken voor het maken van contact na het werk of in het weekend of voor andere doeleinden.
Privacy Nieuws
De Rijksdienst voor het Wegverkeer (RDW) met heeft aangifte gedaan bij de politie wegens illegale handel in privégegevens van Nederlandse automobilisten. Dat heeft de RDW gedaan na berichtgeving door RTL Nieuws.
De RDW verzorgt de uitgifte van alle kentekens voor auto’s, motoren, bromfietsen en boten in Nederland. De dienst heeft vestigingen in Groningen en Veendam.
Volgens RTL is het mogelijk om via internet aan de hand van een kenteken te laten uitzoeken wie de eigenaar van een voertuig is. Dat zou 50 tot 150 euro kosten. Het aanbieden van deze gegevens is echter in strijd met de Algemene Verordening Gegevensbescherming (AVG).
Het achterhalen van de eigenaar achter een kenteken kan op verschillende manieren worden misbruikt, melden experts aan RTL Nieuws. Zo kunnen dieven bijvoorbeeld de eigenaren van dure auto’s op de parking bij Schiphol achterhalen, zodat ze weten dat die mensen op vakantie zijn. Daarna kunnen ze inbreken bij hun huis. Ook kan de informatie gebruikt worden voor lastigvallen en intimidatie.
‘Meerdere keren per week’
De handvol accounts die nu actief zijn in het aanbieden van persoonsinformatie achter kentekens, zeggen tegen RTL Nieuws dat ze dat meerdere keren per week doen.
RDW weet nog niet hoe kwalijk de praktijk is: ‘We moeten eerst uitzoeken wat er precies gebeurt, of deze mensen de informatie rechtstreeks uit de RDW-registers halen.’
Ook andere organisaties hebben toegang
De RDW is niet de enige instelling die toegang heeft tot het kentekenregister. De politie, de Belastingdienst, het Centraal Justitieel Incassobureau en gemeenten kunnen de gegevens ook zien.
De RDW beheert 11,5 miljoen Nederlandse kentekens. Het registreert niet alleen de technische gegevens van het voertuig, maar ook de naam, adres en woonplaats van de eigenaar.
In het register staan alle voertuigen in Nederland die een kenteken moeten hebben. Dat zijn auto’s, bestelbussen, vrachtauto’s, bussen, bromfietsen, motoren, aanhangers, caravans, vrachtwagenopleggers en snorfietsen.
Privacy Nieuws
Amazon overtreedt de Amerikaanse en Europese privacywetgeving op grove wijze. En dat heeft het bedrijf nu ook zelf toegegeven.
Amazon heeft bijvoorbeeld bekend dat zijn spraakassistent Alexa zelfs logs opslaat die je al verwijderd hebt.
Dit deed Amazon naar aanleiding van een brief van de Amerikaanse senator Chris Coons. Hij informeerde naar het privacybeleid van het bedrijf.
Amazon antwoordde dat het bedrijf sommige gegevens voor onbepaalde tijd bewaart. Plus, ze worden gedeeld met derden. En Alexa zit daar als een spil middenin.
Gesprekken die door Alexa worden opgenomen worden niet alleen door medewerkers van Amazon beluisterd, maar ook getranscribeerd en opgeslagen. Dat was sinds april 2019 al bekend geworden. En dat zorgde al voor veel ophef.
Maar daar houdt het nog niet op, blijkt nu. De duizenden medewerkers van Amazon die gesprekken via de spraakassistent kunnen volgen, kunnen ook locatiegegevens opvragen.
De Amerikaanse senator Chris Coons werd dat allemaal te veel. Hij wilde weten wat Amazon nog meer met de gegevens deed.
Coons informeerden bij het bedrijf naar de duur van de gegevensopslag. “We bewaren de stemopnames en transcripten van klanten tot de gebruiker ze verwijdert’, antwoordt Amazon. “Gegevens kunnen worden opgeslagen in een apart opslagsysteem.”
Maar in mei, na een CNET-onderzoek, kwam Amazon erachter dat Alexa gegevens als transcript blijft opslaan, zelfs als de gebruiker het audiobestand heeft verwijderd.
Alles voor prestaties
Met het oog op redelijk functioneren van Alexa kan volgens Amazon elke transactie of routinematig geplande activiteit die een gebruiker met zijn apparaat uitvoert, worden geregistreerd. Dus zelfs als u alle opnames van Alexa verwijdert, kan Amazon sommige gegevens bewaren – zogenaamd om de volledige functionaliteit van Alexa te garanderen.
AVG Awareness, Privacy Nieuws
Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.
Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:
CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet
Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?
Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.
Lees zijn bio op de site van PM Partners maar:
Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.
Waarom heeft CEO fraude niets te maken met de AVG?
Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.
Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.
CEO-fraude.
Social engineering.
Die woorden komen toch echt aan bod bij iedere security awareness training.
Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.
Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?
Jeroen Terstegge antwoordt meteen:
Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.
Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.
Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:
- Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
- AVG = persoonsgegevens…
- Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).
Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.
Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.
De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.
Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.
Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.
Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.
Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:
Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.
Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.
De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.
Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.
Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.
Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.
En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.
Maar dat is mijn bescheiden mening.
No hard feelings, Jeroen.
Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.
Privacy Nieuws
Bits of Freedom heeft de nominatie voor de jaarlijkse Big Brother Awards Publieksprijs geopend. Wie is de grootste schender van privacyrechten van 2018?
De Big Brother Awards Publieksprijs wordt ieder jaar uitgereikt aan de persoon of organisatie die dat jaar de grofste inbreuk maakte op de privacy van Nederlanders.
Bits of Freedom is een beweging die opkomt voor internetvrijheid in Nederland. De organisatie richt zich op twee voor die vrijheid essentiële grondrechten: communicatievrijheid en privacy.
Het publiek kan tot en met 25 november via de website van Bits of Freedom kandidaten nomineren. Wie verdient volgens jou deze bedenkelijke eer?
Uit alle nominaties wordt een top 3 gevormd waar vanaf 3 december op kan worden gestemd.
De uitreiking van de Big Brother Awards is op 22 januari 2019 in de Rode Hoed te Amsterdam.
De publieksprijs van de Big Brother Awards 2017 was voor het kabinet. Dit vanwege het doordrukken van de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten – door het publiek vaak ook wel de sleepnetwet genoemd.
Focum wint de prijs voor het profileren en beïnvloeden van levenskansen, zonder daar de maatschappelijke verantwoordelijkheid voor te nemen.
Privacy Nieuws
De zoekmachine DuckDuckGo groeit dankzij de Algemene Verordening Gegevensbescherming (AVG) explosief.
Steeds meer mensen kiezen voor de zoekmachine die garandeert geen persoonsgegevens op te slaan. Mede als gevolg van alle publiciteit over de manier waarop Google omgaat met persoonsgegevens en datalekken.
“Het kostte ons zeven jaar om in één dag 10 miljoen particuliere zoekopdrachten te bereiken, daarna nog eens twee jaar om 20 miljoen te bereiken, en nu minder dan een jaar later zijn we op 30 miljoen! Dank u allen ?”, tweet DuckDuckGo vrolijk.
DuckDuckGo heeft een eenvoudig beleid: “Wij slaan uw persoonlijke gegevens niet op. Nooit.”