Home

Datalek gemeente Leiden: persoonsgegevens op straat

Door inDatalekken

De gemeente Leiden heeft de gegevens van ruim 130 adressen gelekt via haar website voor vergunningsaanvragen. De aanvraagformulieren voor onttrekkingsvergunningen waren per abuis als bijlage in dossiers op de website beland. De gegevens zijn na ontdekking deze week direct weer offline gehaald, waarna de gemeente middels een brief de gedupeerden op de hoogte heeft gebracht en haar ‘welgemeende excuses’ heeft aangeboden.

Onder meer burgerservicenummers, namen, adressen, geboortedata, e-mailadressen en telefoonnummers waren door jan en alleman in te zien. Indien een gedupeerde als ‘natuurlijke persoon’ de aanvraag heeft gedaan, zijn deze gegevens gelekt. Indien hij of zij namens een bedrijf de aanvraag heeft gedaan, zijn de bedrijfsgegevens online beland, in welk geval er formeel geen sprake is van een datalek.

De gemeente geeft aan dat zij niet precies weet hoe vaak de gegevens onrechtmatig gedownload zijn. Hoe reëel de kans op identiteitsfraude nu voor de gedupeerden is, kan de gemeente niet zeggen. Wel laat een woordvoerder desgevraagd weten dat ‘de getroffen maatregelen voldoende adequaat geacht worden om dit risico zoveel mogelijk te beperken’. De Leidse gemeente raadt de getroffenen wel op om alert te blijven.

De beheerder van de Leidse vergunningenwebsite kan deels inzien of de aanvraagformulieren daadwerkelijk gedownload zijn. De gemeente stelt in dat geval de gedupeerde hiervan op de hoogte. Zo valt in een brief die de lokale overheid aan één van de getroffenen stuurde, het volgende te lezen: “Uit onderzoek bij de beheerder blijkt dat uw dossiers met daarin de bijlage met uw persoonsgegevens in ieder geval eenmaal is geraadpleegd. Het kan zijn dat u dat zelf was en dat uw persoonsgegevens niet door een onbevoegde zijn ingezien. Echter, wij kunnen dit risico niet volledig uitsluiten. Wij raden u daarom aan alert te zijn op signalen van misbruik van uw persoonsgegevens of identiteitsfraude.”

© Sleutelstad.nl

Alles over de verschillende encryptie-soorten

Door inSecurity

Wat is encryptie en hoe werkt het in grote lijnen? In dit artikel kijken we naar de verschillende encryptie-soorten die mogelijk zijn.Belangrijke basiskennis voor elke computergebruiker die zijn communicatie graag privé houdt.

Bij encryptie of versleuteling wordt een boodschap (de ‘plaintext’) op zo’n manier gecodeerd dat alleen iemand met de juiste sleutel de oorspronkelijke boodschap kan decoderen. De versleutelde versie van de boodschap wordt ook wel ‘ciphertext’ genoemd. Wie de ciphertext dus weer in de oorspronkelijke boodschap wil omzetten (dat proces heet ‘decryptie’), heeft de sleutel nodig. De sleutel is in principe een willekeurig getal. In de praktijk maken we gebruik van een wachtwoord en dus wordt het wachtwoord via een ‘key derivation function’ eerst omgezet naar een willekeurig getal dat dan als sleutel dient.

Er bestaan diverse manieren om die versleuteling uit te voeren. Zo’n manier heet een encryptie-algoritme of ‘cipher’. De Nederlandse taalkundige en cryptograaf Auguste Kerckhoffs stelde al in de 19de eeuw een belangrijk ontwerpprincipe op: een encryptie-algoritme moet zelfs veilig zijn als alle details van het systeem publiek bekend zijn, behalve de sleutel. Dit principe van Kerckhoffs is anno 2020 nog altijd even belangrijk voor de veiligheid van een encryptie-algoritme.

Als iemand je dus wil overtuigen om een propriëtair, topgeheim encryptiesysteem te gebruiken, loop er dan maar in een wijde boog omheen. De enige verantwoorde keuzes voor encryptiesystemen zijn algoritmes waarvan de specificatie openbaar is, waarvan de ontwikkeling in open commissies gebeurt en waarvan opensource implementaties bestaan.

Lees hier verder. © PCMWeb

Grote vraag naar software om thuiswerken te controleren

Door inAVG nieuws

Sinds de uitbraak van het coronavirus bestellen werkgevers massaal software om de productiviteit van thuiswerkende werknemers te monitoren. Vaak zonder de werknemers hierover te informeren. Mag dat zomaar? Nee. Als een werkgever het thuiswerken wil controleren, is er werk aan de winkel voor de ondernemingsraad (OR).

Volgens Amerikaanse leveranciers is de vraag naar software die de productiviteit van werknemers controleert sinds het begin van de coronacrisis enorm gestegen. Want ook al zijn de meeste werknemers blij met het thuiswerken, werkgevers hebben er meer moeite mee. Vooral omdat ze minder zicht hebben op wat de werknemer thuis doet. Speciale software stelt hen in staat om te monitoren wat de werknemer op zijn computer doet. Aan de hand van gegevens over gebruikte programma’s en toepassingen kan de werkgever bepalen of de werknemer in zijn ogen productief of niet-productief bezig is geweest, en de resultaten onderling vergelijken.

Het bijhouden van zulke productiviteitsscores van werknemers is echter niet toegestaan. Het is in strijd met de privacywetgeving, die is vastgelegd in de Grondwet, het Europees Verdrag voor de Rechten van de Mensen (EVRM) en de Algemene verordening gegevensbescherming (AVG). Ook als de werknemer schriftelijk toestemming heeft gegeven voor het monitoren van zijn computergebruik. Omdat de werknemer in een afhankelijkheidspositie zit ten opzichte van de werkgever, zal toezichthouder Autoriteit Persoonsgegevens (AP) begrijpen dat hij die toestemming niet vrijelijk heeft gegeven.

Lees hier verder. © Rendement Online

Privacyrisico’s van TikTok – Is alle ophef terecht?

Door inPrivacy

TikTok is een Chinese app van techbedrijf ByteDance, waarop gebruikers korte video’s kunnen maken en delen. Het doet denken aan Vine, een vergelijkbaar deelplatform voor video’s dat enkele jaren geleden populair was maar nu niet meer bestaat. Tiktok is razendpopulair, en bovendien is het de eerste Chinese social media-app die in het in de westerse wereld zo goed doet. Toch blijkt er uit recentelijk onderzoek van alles mis te zijn met de veiligheid van de app. Verscheidene instanties en nieuwsoutlets trekken inmiddels aan de bel en berichten over de problematiek.

De Autoriteit Persoonsgegevens stelde eerder al een onderzoek in naar TikTok, omdat vooral kwetsbare groepen, zoals kinderen en jongeren, gebruikmaken van de app. In december 2019 werd het verboden voor Amerikaanse militairen om TikTok te gebruiken, omdat de app een ‘cyber threat’ zou zijn. Ook de privacywaakhond van de EU besloot een kijkje te nemen naar het privacybeleid van TikTok, en zelfs de CEO van Reddit veroordeelde de praktijken van TikTok met harde bewoording. VPNgids nam TikTok onder de loep en includeerde in haar analyse de meest recente berichtgeving en onderzoeken over de app. De bevindingen zijn uiterst verontrustend. Welke privacy- en veiligheidsrisico’s kenmerken TikTok nu precies, en wat kun je doen om deze zo veel mogelijk te beperken?

‘Het feit dat meerdere bronnen onafhankelijk van elkaar stellen dat TikTok eigenlijk niets meer is dan spyware met het label “social media” is voor ons reden om het gebruik van deze app op dit moment expliciet af te raden. Later dit jaar komt de Autoriteit Persoonsgegevens met een officieel onderzoek naar TikTok, al laat dit mogelijk dus nog even op zich wachten.’

We vroegen onderzoeksjournaliste en schrijfster Maria Genova naar haar visie op TikTok. Volgens Genova is Tiktok inderdaad een bijzonder goede tool voor massa-spionage. Genova vertelt: “Niet voor niets hebben diverse landen het verboden. Het is ongelooflijk hoeveel informatie zo’n app uit je telefoon trekt. (…) als het zo massaal gedownload is zoals in Nederland, kun je zowat de hele bevolking observeren en conclusies trekken.”

Lees hier verder. © VPNGids

Trend Micro: 63% van de Nederlandse thuiswerkers is zich tijdens lockdown meer bewust geworden van cybersecurity

Door inSecurity

Onderzoek toont aan dat gebruikers security-trainingen serieus nemen, maar nog steeds gevaarlijk gedrag vertonen.

Trend Micro, wereldwijd leider in cybersecurity-oplossingen, presenteert vandaag zijn onderzoeksrapport dat laat zien hoe thuiswerkers in 27 landen omgaan met cybersecurity. Meer dan de helft (63%) van de Nederlandse thuiswerkers zegt zich meer bewust te zijn van het cybersecurity-beleid van hun organisatie sinds het begin van de lockdown, maar velen lappen deze regels toch aan hun laars door beperkte kennis of middelen.

Het Trend Micro Head in the Clouds-rapport is gebaseerd op interviews met 13.200 thuiswerkers in 27 landen, waaronder Nederland. De vragen gingen over hun houding ten opzichte van corporate cybersecurity- en IT-beleid. Het laat zien dat er nooit eerder zoveel bewustwording is geweest over cybersecurity onder werknemers. Het onderzoek onderstreept tevens dat de aanpak die bedrijven hebben op het gebied van training erg belangrijk is om ervoor te zorgen dat security-beleid ook wordt uitgevoerd.

De resultaten laten zien dat de zogenaamde ‘security awareness’ is toegenomen, waarbij 83% procent van de Nederlandse respondenten aangeeft instructies van hun IT-team serieus te nemen en 76% geeft aan dat cybersecurity binnen een organisatie deels hun verantwoordelijkheid is. Zeker 60% snapt ook dat het gebruik van niet-werkgerelateerde applicaties op het corporate netwerk security-risico’s met zich meebrengt.

Ondanks dat de meeste mensen zich bewust zijn van de risico’s, betekent dat niet automatisch dat ze zich ook aan de regels houden:

  • 57% van de werknemers geeft toe dat ze niet-werkgerelateerde applicaties gebruiken op een corporate device en 70% heeft zelfs corporate data verstuurd via dergelijke applicaties.
  • 78% van de respondenten geeft toe dat ze hun werklaptop gebruiken voor persoonlijke (online) doeleinden en slechts 28% van hen legt zichzelf beperkingen op als het gaat om websitebezoeken.
  • 44% van de respondenten zegt vaak tot altijd corporate data te openen op hun persoonlijke device, wat eigenlijk altijd een schending is van het corporate security-beleid.
  • 8% van de respondenten geeft toe porno te downloaden op hun werklaptop en 11% bezoek daarmee wel eens het dark web.

Productiviteit wint het voor veel gebruikers nog steeds van beveiliging. Een derde van de Nederlandse respondenten (36%) geeft toe dat ze zich niet vaak afvragen of de apps die ze gebruiken onder beheer staan van IT of niet. Dat komt vooral omdat ze met die apps gewoon hun werk willen doen. Zeker 27% denkt dat ze wegkomen met het gebruik van niet-werkgerelateerde applicaties omdat de oplossingen die hun werkgever biedt “nergens op slaan”.

Lees hier verder. © Persberichten