Privacy/Security nieuws

Bank straft datalek af met hogere rente

Bedrijven die getroffen zijn door datalekken waarbij persoonsgegevens zijn gestolen of publiekelijk bekend zijn gemaakt, moeten vaak hogere rentes op leningen betalen van hun bank.

Problemen voor het imago van een bedrijf dat getroffen is door een datalek lijken snel vergeten. De waarde van de aandelen is vaak na een maand alweer op het oude niveau. Banken blijken dat echter anders te zien. Zij rekenen klanten die hiermee te maken gehad hebben gemiddeld 0,4 procentpunt hogere rentes bij leningen, zo blijkt uit onderzoek in opdracht van de American Accounting Association.

Dat doen banken omdat ze minder zekerheid hebben over de toekomst van een bedrijf na een datalek. De directe en indirecte kosten die voortvloeien uit het lek zijn niet duidelijk. Zo kunnen grote klanten opstappen of de wetgever kan maatregelen nemen. Die onzekerheid moet voor de bank gecompenseerd worden met een hogere rente.

Het onderzoek is uitgevoerd door de Yeshiva Universiteit in New York en de Hong Kong Polytechnic University. Daarbij werden de leningen die bijna 1100 beursgenoteerde bedrijven hadden gekregen bij banken in de periode 2003 tot 2016 vergeleken. De helft van de bedrijven had te maken gehad met een datalek en de andere helft niet. Daarbij werden vergelijkbare bedrijven naast elkaar gezet, om de impact van het datalek goed duidelijk te krijgen.

Nog hogere rente

De rente steeg voor vrijwel alle organisaties na een datalek, maar de stijging was sterker naarmate er data van meer mensen bij waren betrokken en als het lek een gevolg was van criminele hackers. Als het door een fout van het bedrijf zelf was veroorzaakt, was de rentestijging milder. Voor bedrijven die voor het lek een heel goede reputatie hadden op het gebied van IT-kwaliteit waren de gevolgen ook groter omdat banken grotere aanpassingen moesten doen aan de beoordeling van de beveiliging van het bedrijf. Zij krijgen over het algemeen namelijk gunstigere voorwaarden voor leningen als ze een goede reputatie hebben op het gebied van IT-beveiliging.

De banken rekenen niet alleen een hogere rente na een datalek, maar eisen ook meer garanties van bedrijven die hiermee te maken hebben gehad. Wel kunnen zij hun positie bij de bank verbeteren door de beveiliging sterk te verbeteren en de impact van het lek te verkleinen waar mogelijk. Een van die maatregelen is meer investeren in databeveiliging.

© AG Connect

Is een hash van een vingerafdruk nog steeds een biometrisch persoonsgegeven?

Juridische vraag: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?

Antwoord: Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Lees hier verder. © Security.nl

Oproep aan accountants, belastingadviseurs en administratieve dienstverleners: maak werk van cybersecurity

Binnen de accountancy, belastingadvies en administratieve dienstverlening zou cybersecurity serieuzer moeten worden genomen. Dat is de kernboodschap van een gezamenlijke oproep van het Digital Trust Center van het ministerie van EZK en verschillende branche- en beroepsverenigingen en adviesbureaus.

Het DTC, SRA, DOCCO, FullFinance, NOAB, RB, NOVAK en Fiscount hebben de handen ineen geslagen en treden naar buiten met een appel op alle branchegenoten om cybersecurity serieuzer te nemen. De initiatiefnemers zien dit als een kwestie van cruciaal belang voor de beroepsgroep. Het initiatief – waar de oproep een eerste stap in is – is een belangeloos samenwerkingsverband dat probeert te bewerkstellingen dat er meer werk wordt gemaakt van informatiebeveiliging in de sector.

Meer informatie via www.digitaltrustcenter.nl.

© Accountancy van Morgen

Apple’s privacy op iPhone is niet zo goed als we dachten

Apple staat onder druk om de transparantieregels bij het volgen van apps aan te scherpen nadat het open oplossingen heeft onthuld om gebruikers te identificeren die er niet mee instemmen om gevolgd te worden.

Alternatieve trackingoplossingen

De regels van Apple over transparantie van app-tracking, die bij iOS 14.5 en iPadOS 14.5 worden geleverd, vereisen goedkeuring om gebruikers op websites en in apps te volgen.

Volgens Eric Seufert, een marketingstrategieconsultant, gebruiken veel apps van derden tijdelijke oplossingen om gebruikers te identificeren die niet willen worden gevolgd, wat betekent dat de hoeveelheid verzamelde gegevens niet echt is veranderd.

Lees hier verder. © Huissen.tv

© MeT-Groep