Categorie op AVG nieuws

Oganisaties doen er twee werkdagen over om op beveiligingsincidenten te reageren

Deep Instinct publiceert zijn halfjaarlijkse Voice of SecOps Report. Uit dit rapport blijkt dat organisaties gemiddeld 17,2 uur nodig hebben om op een cyberaanval te reageren, oftewel twee werkdagen. Wereldwijd ligt dit gemiddeld nog hoger, namelijk 20.9 uur. Gezien de vertraging die security-teams vaak oplopen wanneer ze met een beveiligingsincident te maken krijgen, hebben de respondenten weinig vertrouwen in hun vermogen om de constante golf van cyberaanvallen de baas te blijven.

Volgens de security-professionals die aan het onderzoek deelnamen, vormen vooral bedreigingen door insiders een hardnekkig probleem. 76 procent van de Nederlandse respondenten heeft er weinig fiducie in dat hun collega’s niet op kwaadaardige links zullen klikken. Hiermee kunnen ze razendsnel cyberbedreigingen in IT-omgeving binnenhalen en een cyberaanval in werking zetten.

Lees hier verder. © Managers Online

Privacywaakhond haalt streep door zwarte lijst fraudeurs

De Autoriteit Persoonsgegevens (AP) heeft een vergunningsaanvraag afgewezen voor het bijhouden van mogelijke fraudeurs op een zwarte lijst, en het delen van die zwarte lijst met bedrijven uit verschillende sectoren.

De aanvraag was gedaan door Vereniging Veilig Ondernemen door Informatie op Maat (VODIOM), een initiatief van onder meer belangenorganisatie MKB Nederland. VODIOM wil persoonsgegevens van vermoedelijke daders van fraude gaan uitwisselen tussen bedrijven in verschillende sectoren: de betaalindustrie, online retail en telecommunicatie. De vereniging wil gegevens van vermoedelijke daders minimaal 3 jaar bewaren.

Oordeel AP

De Autoriteit Persoonsgegevens (AP) ziet dat echter niet zitten. Mensen die (onterecht) op zo’n zwarte lijst staan kunnen te maken krijgen met stigmatisering, oordeelt de toezichthouder. Private organisaties mogen daarom niet zomaar een ‘fraudeursdatabase’ beheren en delen.

‘Fraude is een groot probleem in Nederland’, zegt AP-vicevoorzitter Monique Verdier. ‘En fraudebestrijding is zeer belangrijk. Daarom geven wij ook vergunningen af voor het delen van zwarte lijsten waarbij de privacy goed gewaarborgd is. Maar als je op zo’n grote schaal private organisaties strafrechtelijke persoonsgegevens wilt laten verwerken, is dat niet zomaar iets.’

Strenge voorwaarden

Een zwarte lijst met strafrechtelijke gegevens beheren is aan strenge voorwaarden verbonden. Wanneer organisaties zo’n zwarte lijst met elkaar willen delen, moeten zij daarvoor een vergunning aanvragen bij de AP. De AP kan zo’n vergunning verlenen wanneer het echt noodzakelijk is dat de gegevens worden gedeeld en er voldoende waarborgen zijn getroffen om de (potentiële) fraudeurs die op zo’n lijst staan te beschermen. Het delen van zo’n zwarte lijst tussen veel bedrijven in verschillende sectoren mag volgens de Nederlandse wet alleen in heel uitzonderlijke gevallen.

Opsporing is politietaak

De AP wijst er verder op dat het opsporen en aanpakken van fraude een overheidstaak is die belegd is bij politie en justitie. Verdier: ‘Bij politie en justitie zijn er allerlei waarborgen ingebouwd, die ervoor zorgen dat gegevens veilig zijn en dat je jezelf kunt verweren tegen beschuldigingen. […] Dat de politie nu geen tijd heeft voor fraudezaken, is een serieus probleem. Maar de oplossing voor dat probleem zou niet moeten zijn dat we dan politietaken overhevelen naar een vereniging of andere private organisaties.’

© Accountancy van Morgen

ICCL: ‘AVG belemmert hard optreden tegen techreuzen’

Europa is niet in staat om hard op te treden tegen grote technologiebedrijven. Grote en belangrijke privacyzaken belanden voornamelijk op het bord van de Ierse toezichthouder. Die laat op zijn beurt te veel zaken liggen. Bovendien is het budget bij de meeste Europese toezichthouders ontoereikend en zijn er te weinig specialisten die kunnen optreden tegen de techbedrijven. De handhaving van de Europese privacywetgeving wordt hierdoor ernstig aangetast.

Dat schrijft de Irish Council for Civil Liberties (ICCL) in een rapport dat vandaag is verschenen.

Huidige privacyregelgeving werkt verlammend

De Ierse burgerrechtenorganisatie laat er geen misverstand over bestaan. Europa is momenteel niet in staat om grote (voornamelijk Amerikaanse) techbedrijven te controleren en tot de orde te roepen. Drie-en-een-half jaar na de invoering van de AVG is de handhaving van de Europese privacy wet- en regelgeving verlamd geraakt.

De Ierse Data Protection Commission (DPC) vormt een bottleneck in de strijd tegen Big Tech in de hele EU, zo schrijft de ICCL in zijn rapport. Volgens de burgerrechtenbeweging wordt 98 procent van de zaken die bij de DPC terecht komt niet opgelost. Europese toezichthouders zijn niet voorbereid op het digitale tijdperk. Zo zijn er te weinig specialisten die kunnen vaststellen wat techbedrijven precies met persoonsgegevens van Europese burgers doen. Slechts 9,7 procent van alle medewerkers bij nationale toezichthouders bezit de specialistische kennis om hier onderzoek naar te doen.

Een andere factor waardoor het AVG-handhavingsbeleid te wensen over laat, is het budget. Meer dan de helft van alle Europese toezichthouders heeft jaarlijks 5 miljoen euro of meer ter beschikking om privacyzaken op te pakken. Van het totale EU-budget is Duitsland goed voor 32 procent.

Ierland is belangrijke oorzaak bottleneck

Het éénloketsysteem is volgens de ICCL de belangrijkste oorzaak dat Europa niet in staat is om op te treden tegen techbedrijven als Google, Amazon, Apple en Facebook. Dit principe houdt in dat de toezichthouder van het land waar het hoofdkantoor van het bedrijf in kwestie is gevestigd, de zaak moet onderzoeken. Aangezien de meeste techbedrijven hun vestiging in Dublin hebben staan, belanden de meeste privacy gerelateerde en concurrentieverstorende zaken op het bord van de DPC. Bovendien wordt één op de vijf zaken (21 procent) doorverwezen naar de Ierse toezichthouder.

“Geen enkele andere AVG-handhavingsinstantie in de EU kan ingrijpen als het Ierse DPC zijn leidende rol opeist in zaken tegen grote techbedrijven met hoofdkantoor in Ierland. Als gevolg daarvan is de AVG-handhaving van de EU tegen Big Tech verlamd doordat Ierland in grensoverschrijdende zaken geen ontwerpbesluiten indient”, zo schrijft de ICCL.

Te weinig budget en technisch onderlegd personeel

Lees hier verder. © VPNGids

Nep-medewerkers Amazon proberen toegang tot computer te krijgen

Er zijn oplichters in Nederland actief die zich voordoen als medewerkers van webwinkel Amazon en toegang tot de computer van slachtoffers proberen te krijgen, om vervolgens geld van bankrekeningen of creditcardgegevens te stelen, zo waarschuwt de Fraudehelpdesk.

Slachtoffers ontvangen via de telefoon een opgenomen bericht waarin wordt gesteld dat ze een kostbare bestelling hebben geplaatst. Het is echter mogelijk om de bestelling te annuleren. Als hiervoor wordt gekozen wordt men doorverbonden met een zogenaamde Amazon-medewerker. Die zegt de bestelling te kunnen annuleren, maar hiervoor moet software worden geïnstalleerd waarmee de computer op afstand kan worden overgenomen.

“Wanneer deze nep-medewerker in uw computer is, kan hij zichzelf uiteindelijk – omdat hij meekijkt wanneer u inlogt – ook toegang geven tot uw online bankomgeving. Zo sluizen ze bijvoorbeeld geld weg naar hun eigen rekening, zonder dat u dit in de gaten heeft”, aldus de Fraudehelpdesk. Wie een dergelijk telefoontje ontvangt wordt aangeraden de verbinding te verbreken.

Lees hier verder. © Security.nl

WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG

De Ierse privacytoezichthouder heeft WhatsApp een boete van 225 miljoen euro gegeven. De chat-app zou niet transparant zijn over welke data wordt gedeeld met andere onderdelen van moederbedrijf Facebook. Het onderzoek begon al in 2018.

Het gaat om een van de hoogste AVG-boete die tot nu werden uitgedeeld in Europa. De Ierse Data Protection Commission trad daarbij op als hoofdtoezichthouder, maar werd ondersteund door verschillende andere nationale toezichthouders. De DPC keek naar de manier waarop WhatsApp informatie verzamelt en doorspeelt naar Facebook, het moederbedrijf.

De toezichthouder schrijft in het boetebesluit dat er ruwweg vier zaken zijn waarop WhatsApp de fout in gaat. De eerste daarvan is dat WhatsApp telefoonnummers verwerkt van niet-gebruikers als gebruikers hun adresboek uploaden naar de dienst. Daarbij wordt weliswaar een hashingalgoritme gebruikt, maar ook voor dat gebeurt zijn de gegevens omkeerbaar terug te leiden naar een specifieke niet-gebruiker. WhatsApp is daarmee zelf een verwerker van die gegevens, stelt de toezichthouder.

Een tweede overtreding is van artikel 13 uit de AVG. WhatsApp is op meerdere vlakken niet duidelijk en transparant genoeg over het doel waarmee data wordt verzameld. Facebook overtreedt daarnaast op dezelfde manier artikel 13 door gebruikers niet duidelijk te vertellen wat er met hun data gebeurt binnen Facebook. Data kan bijvoorbeeld worden gebruikt door andere Facebook-bedrijven zoals Instagram, maar dat is niet helder voor eindgebruikers. Die informatie staat volgens de toezichthouder in verschillende privacyverklaringen en ‘een significante hoeveelheid van die informatie is zo high level dat het betekenisloos is’. Ook zegt de toezichthouder dat het voor eindgebruikers niet duidelijk is of ze het delen van data verplicht moeten accepteren om van de dienst gebruik te maken, of dat dat nodig is omdat de app anders niet werkt.

Niet alleen krijgt het bedrijf een boete voor de onduidelijkheid rondom het delen van data, maar WhatsApp moet in de tussentijd ook informatie hierover uit het privacybeleid halen. Dat moet totdat WhatsApp ‘concrete plannen heeft, met een definitieve en aankomende aanvangsdatum, om te beginnen met het delen van persoonlijke data binnen Facebook-bedrijven voor beveiligingsdoeleinden’. Tot slot zou WhatsApp data niet ‘eerlijk en transparant’ verzamelen, waarmee het bedrijf artikel 5 van de AVG overtreedt.

Het onderzoek door de Ierse toezichthouder begon al in 2018, toen de AVG in werking trad. Het onderzoek keek dan ook naar beleid dat op dat moment actief was.

Meerdere toezichthouders

De Ierse privacytoezichthouder trad op namens verschillende andere Europese toezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens. Onder de AVG kan één toezichthouder de hoofdtoezichthouder worden. Dat is doorgaans het land waar het hoofdkantoor van een bedrijf is gevestigd. Veel internationale techbedrijven hebben hun Europese hoofdkwartier in Ierland geplaatst, met name vanwege de gunstige belastingregels. Onlangs sprak het Europees Hof van Justitie zich uit tegen dat one-stop shop-mechanisme. In sommige gevallen mag een nationale toezichthouder een onderzoek nu overnemen. Dat is hier niet gebeurd, vermoedelijk omdat het onderzoek al in vergevorderde fase was.

De DPC had eerder al een voorlopige conclusie naar de deelnemende toezichthouders gestuurd. Die wezen dat af, omdat het onderzoek volgens hen te beperkt was en niet naar genoeg onderdelen van WhatsApps dataverzameling keek. Eind juli bekeek de Ierse toezichthouder daarom de uiteindelijke boete opnieuw en kwam het toch uit op een boete van 225 miljoen euro.

Recordboete

Het is de op eennahoogste hoogste boete die tot nu toe onder de AVG is uitgedeeld. Vorige maand kreeg Amazon een boete van 746 miljoen euro. Daarvoor kreeg Google een Franse boete van 50 miljoen euro.

WhatsApp noemt de boete tegen Reuters ‘compleet disproportioneel’. Het bedrijf geeft aan in beroep te gaan tegen de boete. WhatsApp vindt niet dat het beleid uit 2018 moet worden afgestraft door zo’n hoog bedrag, omdat het sindsdien veel moeite heeft gedaan de privacyverklaring transparanter te maken. De boete is ook veel hoger dan verwacht. Vorig jaar zette WhatsApp nog 77,5 miljoen euro opzij om twee mogelijke boetes vanuit Ierland op te vangen.

Lees hier verder. © Tweakers.net

© MeT-Groep