Modeketen Hennes & Mauritz (H&M) moet in Duitsland een boete van 35,3 miljoen euro betalen voor het overtreden van de privacywet. De straf is opgelegd door de commissaris voor gegevensbescherming van Hamburg.
H&M blijkt honderden medewerkers van het servicecentrum in Neurenberg in de gaten te hebben houden. De opgelegde boete is bedoeld als afschrikking.
“De onderhavige zaak getuigt van een ernstige veronachtzaming van de gegevensbescherming van de werknemers”, zegt de Hamburgse commissaris voor gegevensbescherming, Johannes Caspar. “Het bedrag van de opgelegde boete is dan ook passend en geschikt om bedrijven ervan te weerhouden de privacy van hun werknemers te schenden”, benadrukte hij.
De zaak valt onder de verantwoordelijkheid van de Hamburgse commissaris voor gegevensbescherming, omdat het bedrijf zijn Duitse hoofdkwartier in de Hanzestad heeft.
De gebeurtenissen waren vorig jaar ontdekt. Uit onderzoek van de toezichthouder blijkt dat H&M ten minste sinds 2014 de informatie over de privé-omstandigheden van werknemers uitgebreid heeft geregistreerd en opgeslagen.
Na vakantie en ziekteverzuim hielden superieuren een “Welcome Back Talk” en vervolgens niet alleen concrete vakantie-ervaringen gedocumenteerd, maar ook ziekteverschijnselen en diagnoses in een aantal gevallen.
Sommige supervisors namen ook uitgebreid kennis van het privéleven van hun werknemers. Van vrij onschadelijke details van familieproblemen en godsdienstige geloven, en roddels van de werkvloer.
De politie in de Duitse deelstaat Noordrijn-Westfalen heeft in 2019 tijdens een strategische klopjacht op inbrekers de privacywet overtreden. De politie controleerde en registreerde duizenden passanten.
Staatscommissaris Helga Block van gegevensbescherming in Noordrijn-Westfalen, noemt in haar jaarverslag over 2019 de werkwijze van de politie “catastrofaal voor de gegevensbescherming”.
Gedurende enkele weken werden in een bepaald gebied in totaal meer dan 5000 mensen en meer dan 2000 voertuigen gecontroleerd. De gegevens van duizenden waren zonder enige reden door de politie verwerkt.
Het resultaat van de klopjacht was ontnuchterend: er is geen enkele concrete aanwijzing voor een geplande of gepleegde inbraak gevonden. Een preventieve werking kon ook niet worden vastgesteld.
Toch werd er in december 2019 al 44 keer een strategische zoektocht gehouden in Noordrijn-Westfalen. De politie beroept zich op een omstreden nieuwe politiewet die de strategische zoektocht toe zou staan. Daar is de toezichthouder het dus niet mee eens.
De Hongaarse regering schort delen van de Algemene Verordening Gegevensbescherming (AVG) op als onderdeel van haar COVID-19-beleid.
Hongarije heeft op 11 maart de noodtoestand uitgeroepen als reactie op de COVID-19-pandemie. Traditioneel moet de noodtoestand na vijftien dagen worden verlengd door het Hongaarse parlement; de regerende Fidesz-partij, die een supermeerderheid in het Hongaarse parlement heeft, heeft echter een “coronaviruswet” voorgesteld die de premier, Viktor Orbán, in staat stelt om bij decreet te regeren.
Door nieuwe aanvullende maatregelen hoeven de Hongaarse autoriteiten zich niet langer te houden aan de belangrijkste bepalingen van de Europese privacywet.
De Hongaarse overheid hoeft niet langer te melden dat persoonlijke informatie wordt overgeheveld en opgeslagen zolang zij handelt onder het mom van “herkenning, verkenning en preventie van verdere verspreiding van het coronavirus”.
Hongaren hebben niet langer het recht om te verzoeken om toegang tot of verwijdering van hun persoonlijke informatie en de overheid heeft zichzelf langer de tijd gegeven om te reageren op verzoeken om informatie.
De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacy van Nederlandse kinderen voldoende gewaarborgd is in de populaire muziekapp TikTok. Dat meldt de toezichthouder op zijn website.
Volgens de Autoriteit Persoonsgegevens worden kinderen beschouwd als extra kwetsbare groep omdat zij zich juist ook bij bij de verwerking van hun persoonsgegevens door sociale media minder bewust zijn van de gevolgen van hun handelen.
“We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruikmaken van TikTok”, schrijft voorzitter Monique Verdier van de Autoriteit Persoonsgegevens. “We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.”
De AP gaat kijken of de informatie die de app geeft over het installeren en gebruiken van de app goed te begrijpen is en of TikTok voldoende uitleg geeft over de verzameling, verwerking en het verdere gebruik van persoonsgegevens.
Ook onderzoekt de Nederlandse toezichthouder of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.
Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?
Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.
Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.
Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.
Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.
In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.
In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.
Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.
De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”
Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).
DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.
Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.
De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.
Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.
Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.
De Rijksdienst voor het Wegverkeer (RDW) met heeft aangifte gedaan bij de politie wegens illegale handel in privégegevens van Nederlandse automobilisten. Dat heeft de RDW gedaan na berichtgeving door RTL Nieuws.
De RDW verzorgt de uitgifte van alle kentekens voor auto’s, motoren, bromfietsen en boten in Nederland. De dienst heeft vestigingen in Groningen en Veendam.
Volgens RTL is het mogelijk om via internet aan de hand van een kenteken te laten uitzoeken wie de eigenaar van een voertuig is. Dat zou 50 tot 150 euro kosten. Het aanbieden van deze gegevens is echter in strijd met de Algemene Verordening Gegevensbescherming (AVG).
Het achterhalen van de eigenaar achter een kenteken kan op verschillende manieren worden misbruikt, melden experts aan RTL Nieuws. Zo kunnen dieven bijvoorbeeld de eigenaren van dure auto’s op de parking bij Schiphol achterhalen, zodat ze weten dat die mensen op vakantie zijn. Daarna kunnen ze inbreken bij hun huis. Ook kan de informatie gebruikt worden voor lastigvallen en intimidatie.
‘Meerdere keren per week’
De handvol accounts die nu actief zijn in het aanbieden van persoonsinformatie achter kentekens, zeggen tegen RTL Nieuws dat ze dat meerdere keren per week doen.
RDW weet nog niet hoe kwalijk de praktijk is: ‘We moeten eerst uitzoeken wat er precies gebeurt, of deze mensen de informatie rechtstreeks uit de RDW-registers halen.’
Ook andere organisaties hebben toegang
De RDW is niet de enige instelling die toegang heeft tot het kentekenregister. De politie, de Belastingdienst, het Centraal Justitieel Incassobureau en gemeenten kunnen de gegevens ook zien.
De RDW beheert 11,5 miljoen Nederlandse kentekens. Het registreert niet alleen de technische gegevens van het voertuig, maar ook de naam, adres en woonplaats van de eigenaar.
In het register staan alle voertuigen in Nederland die een kenteken moeten hebben. Dat zijn auto’s, bestelbussen, vrachtauto’s, bussen, bromfietsen, motoren, aanhangers, caravans, vrachtwagenopleggers en snorfietsen.
Bent u van plan om FaceApp te installeren om te zien hoe u er als u oud bent uit ziet? Niet doen!, waarschuwt de politie. De app is niet veilig. De Russische app overtreedt de Algemene Verordening Gegevensbescherming (AVG).
Veel gratis apps verzamelen gegevens van gebruikers. Op die manier kunnen ze geld verdienen door adverteerders of andere bedrijven toegang geven tot deze data. In de Europese Unie zijn er strenge regels voor hoe hiermee omgegaan moet worden, die gebruikers ook de mogelijkheid bieden die gegevens op te vragen en te laten verwijderen.
De politie heeft op verschillende lokale Facebookaccounts een oproep geplaatst waarin wordt geadviseerd de ouderdomsapp FaceApp te verwijderen. De politie vindt de app niet veilig, omdat deze niet aan de Europese privacywetgeving hoeft te voldoen.
Met de gratis FaceApp kunnen gebruikers een foto van zichzelf uploaden en zien hoe ze eruit komen te zien als ze ouder worden.
De app bestaat al enige tijd, maar is sinds een paar weken erg populair geworden.
Duizenden Nederlanders creëerden een oudere versie van zichzelf met het filter in de app, maar dat is dus niet verstandig volgens de Politie Schagen.
FaceApp is van een Russische appmaker en dit bedrijf hoeft zich niet te houden aan de Europese privacywetgeving, schrijft de politie. De appmaker kan dus geen boete krijgen op basis van de Algemene verordening gegevensbescherming (AVG) als het onzorgvuldig omgaat met de gegevens.
De politie benadrukt dat de app niet alleen je foto opslaat, maar ook je ip-adres, smartphonegegevens en cookies plaatst. Daarom is het beter om de app te verwijderen, aldus de politie.
Het is niet voor het eerst dat FaceApp onder vuur ligt. Privacyvoorvechters bekritiseerden het beleid van de app afgelopen week en adviseerden hem niet te installeren.
Hackers hebben met behulp van ransomware een computernetwerk platgelegd dat gebruikt wordt door elf ziekenhuizen en vier bejaardentehuizen in de Duitse deelstaten Rijnland-Palts en Saarland. In de getroffen ziekenhuizen moesten artsen uit nood met pen en papier werken om hun medische diagnose vast te leggen en recepten te kunnen schrijven.
De hackers troffen onder meer medische klinieken in Worms, Mainz, Alzey en Bad Kreuznach met de ransomware-aanval.
De aangevallen ziekenhuizen behoren tot het Duitse Rode Kruis (DRK).
De ransomware heeft servers en databases versleuteld. Volgens het magazine Spiegel Online, kon het medisch personeel niet langer toegang krijgen tot de gegevens omdat die versleuteld bleken door de ransomware.
Tijdens de aanval moesten het medisch personeel en de administratie met potlood, balpen en papier opnames van patiënten en laboratoriumbevindingen opschrijven.
De zorg voor de patiënten zou echter niet in gevaar zijn geweest, medische hulpmiddelen niet aangetast en er zijn tot nu toe geen aanwijzingen dat er vertrouwelijke informatie is gestolen.
De hack werd zondagochtend opgemerkt. Het encryptieproces kon pas op zondagmiddag worden gestopt. Het Staatscentrum voor Cybercrime bij het Openbaar Ministerie in Koblenz deed onderzoek.
De zwakke plek in het netwerk waardoor hackers met hun ransomware konden infiltreren is nu geïdentificeerd. Volgens de regionale publieke omroep SWR, worden de betrokken computers inmiddels geleidelijk weer op het netwerk aangesloten.
Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.
Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”
Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.
Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.
Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.
Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.
Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.
Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.
Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.
Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.
De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.
De boete kan nog met maximaal 300.000 euro verhoogd worden.
Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.
Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.
De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.
Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.
De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.
De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.
Amazon overtreedt de Amerikaanse en Europese privacywetgeving op grove wijze. En dat heeft het bedrijf nu ook zelf toegegeven.
Amazon heeft bijvoorbeeld bekend dat zijn spraakassistent Alexa zelfs logs opslaat die je al verwijderd hebt.
Dit deed Amazon naar aanleiding van een brief van de Amerikaanse senator Chris Coons. Hij informeerde naar het privacybeleid van het bedrijf.
Amazon antwoordde dat het bedrijf sommige gegevens voor onbepaalde tijd bewaart. Plus, ze worden gedeeld met derden. En Alexa zit daar als een spil middenin.
Gesprekken die door Alexa worden opgenomen worden niet alleen door medewerkers van Amazon beluisterd, maar ook getranscribeerd en opgeslagen. Dat was sinds april 2019 al bekend geworden. En dat zorgde al voor veel ophef.
Maar daar houdt het nog niet op, blijkt nu. De duizenden medewerkers van Amazon die gesprekken via de spraakassistent kunnen volgen, kunnen ook locatiegegevens opvragen.
De Amerikaanse senator Chris Coons werd dat allemaal te veel. Hij wilde weten wat Amazon nog meer met de gegevens deed.
Coons informeerden bij het bedrijf naar de duur van de gegevensopslag. “We bewaren de stemopnames en transcripten van klanten tot de gebruiker ze verwijdert’, antwoordt Amazon. “Gegevens kunnen worden opgeslagen in een apart opslagsysteem.”
Maar in mei, na een CNET-onderzoek, kwam Amazon erachter dat Alexa gegevens als transcript blijft opslaan, zelfs als de gebruiker het audiobestand heeft verwijderd.
Alles voor prestaties
Met het oog op redelijk functioneren van Alexa kan volgens Amazon elke transactie of routinematig geplande activiteit die een gebruiker met zijn apparaat uitvoert, worden geregistreerd. Dus zelfs als u alle opnames van Alexa verwijdert, kan Amazon sommige gegevens bewaren – zogenaamd om de volledige functionaliteit van Alexa te garanderen.
