Categorie op AVG nieuws

‘Universiteit Leiden gehackt, Iraanse hackgroep wil geld zien’

Hackers hebben accountgegevens van medewerkers, huisadressen en beschrijvingen van onderzoeken van de universiteit in Leiden buitgemaakt. De criminelen dreigen met het online publiceren van de gestolen gegevens als de universiteit niet betaalt. De universiteit bevestigt berichtgeving daarover van het AD.

De hackers zouden zestien bitcoin eisen, omgerekend ongeveer 450.000 euro. Maar de universiteit zegt niet te willen betalen. Wanneer de hack plaatsvond, is niet bekend.

De onderwijsinstelling vermoedt dat de hack uit Rusland komt. “Er is activiteit vanaf Russische IP-adressen in de logs waargenomen”, zegt iemand van de universiteit tegen de krant. Daarna zouden de gegevens zijn doorgespeeld aan een Iraanse hackgroep met de naam Arvin Club. De universiteit zegt dat er in elk geval geen sprake is van ransomware, zoals in 2019 bij de universiteit van Maastricht.

Volgens het AD worden de gegevens van de universiteitsmedewerkers aangeboden op het darkweb. Zo zouden sinds enkele dagen afbeeldingen van enkele tientallen huisadressen en vele tientallen mailadressen te zien zijn.

Lees hier verder. © NOS. Lees ook Universiteit Leiden meldt datadiefstal van “onvoldoende beveiligde” server, © Security.nl

Justitie wacht met gebruik Google Workspace totdat aan AVG wordt voldaan

Het ministerie van Justitie en Veiligheid zal geen gebruikmaken van Google Workspace zolang de software niet aan de AVG voldoet, zo heeft demissionair minister Grapperhaus afgelopen vrijdag aan de Tweede Kamer laten weten. De minister reageerde op advies van de Autoriteit Persoonsgegevens.

Het ministerie wil Google Workspace, voorheen bekend als G Suite Enterprise, gaan inzetten. Voorafgaande werd er een Data Protection Impact Assessment (DPIA) uitgevoerd. Met een DPIA worden vooraf de privacyrisico’s die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico’s te verkleinen.

Uit de DPIA kwam naar voren dat erbij het gebruik van Google Workspace persoonsgegevens worden verwerkt en dit niet volgens de regels van de AVG gebeurt. Zo is er een gebrek aan doelbinding en transparantie over de inhoudelijke gegevens, is er geen grondslag voor Google en de verwerkingsverantwoordelijke, ontbreken er privacycontroles voor beheerders en gebruikers, is er een gebrek aan controle over het delen van gegevens met verwerkers en derde partijen en kunnen betrokkenen hun AVG-rechten niet uitoefenen.

“Na gesprekken tussen de minister van Justitie en Veiligheid en Google zijn deze risico’s naar het oordeel van de minister in onvoldoende mate gemitigeerd. De minister heeft daarom over deze risico’s een verzoek om voorafgaande raadpleging ingediend bij de Autoriteit Persoonsgegevens”, zo laat de privacytoezichthouder weten. De AP adviseerde de minister om Google Workspace niet te gebruiken totdat er antwoord op een aantal fundamentele vragen kan worden gegeven.

Deze antwoorden moeten vervolgens in de DPIA worden verwerkt. “Pas wanneer er geen hoge restrisico’s uit de aangepaste DPIA volgen kan het gebruik van Google Workspace, bij behoefte, worden gestart”, laat Grapperhaus aan de Tweede Kamer weten. Volgens de minister heeft Google in een reactie op het advies van de AP aangegeven dat het zal meewerken om de gevonden problemen op te lossen.

Het Strategisch Leveranciersmanagement Rijksoverheid (SLM Rijk) en Google zijn inmiddels in overleg over het opvolgen van het advies, waarbij het de bedoeling is dat er begin augustus overeenstemming is bereikt. “Met het uitvoeren van de DPIA, de daaropvolgende adviesaanvraag bij de AP en het op basis daarvan voort te zetten onderzoek door SLM Rijk geef ik vervolg aan een zorgvuldig proces, dat conform de voorschriften in de AVG verloopt”, besluit de minister zijn brief aan de Tweede Kamer.

Lees hier verder. © Security.nl

Privacytoezichthouders mogen zelf onderzoek doen als andere EU-landen verzaken

Privacytoezichthouders in Europese landen mogen ook optreden tegen bedrijven als de zaak niet in hun land speelt. Door die uitspraak mag de Belgische GBA een onderzoek starten naar Facebook. Dit platform stelde dat alleen de Ierse autoriteit onderzoek naar het bedrijf mocht doen.

Dat is de uitspraak van het Europees Hof van Justitie. Dat concludeert dat de Belgische privacytoezichthouder, de Gegevensbeschermingsautoriteit, een onderzoek mag starten naar mogelijk datamisbruik door Facebook. De zaak speelt al sinds 2015, toen de GBA nog de Privacycommissie heette. Die wilde in dat jaar een onderzoek beginnen naar het techbedrijf. Facebook zou volgens de toezichthouder op meerdere manieren illegaal data verzamelen van zowel gebruikers als niet-gebruikers.

Facebook ging daar tegenin. Het bedrijf stelde tegenover het Hof van Beroep dat de GBA geen autoriteit had om op te treden, omdat Facebook zijn Ierse hoofdkantoor had aangemerkt als gegevensverantwoordelijke. Daarmee zou ook de Ierse privacytoezichthouder de primaire onderzoeker moeten zijn.

Dat laatste is het zogenoemde ‘one-stop shop-mechanisme’ onder de AVG. Dat stelt dat bij een onderzoek door meerdere toezichthouders één toezichthouder het voortouw moet nemen. Andere toezichthouders kunnen in zo’n geval wel meewerken, maar niet het onderzoek zelf uitvoeren. Dat mechanisme leverde in het verleden vaak frictie op bij nationale toezichthouders die onderzoek willen doen naar multinationals, zoals grote techbedrijven.

Zulke techbedrijven hebben vaak hoofdkantoren zitten in Ierland. Dat maakt de Ierse privacytoezichthouder belangrijk voor het one-stop shop-mechanisme, maar net als veel andere autoriteiten zucht ook die organisatie onder geld- en capaciteitsgebrek. Daardoor blijven veel onderzoeken liggen.

Het Europees Hof erkent dat onder de AVG één autoriteit het voortouw neemt in een privacyonderzoek. Maar, zegt het Hof, dat hoeft niet de standaard te zijn. Er zijn voorwaarden denkbaar waarop het one-stop shop-mechanisme niet hoeft te gelden. Dat kan volgens het Hof als de hoofdtoezichthouder ‘essentiële dialoog mijdt’ tussen andere toezichthouders die bij het onderzoek betrokken zijn. Ook mag een hoofdtoezichthouder de inzichten van andere toezichthouders niet negeren. Als dat toch gebeurt, is het mogelijk dat de zaak alsnog door een nationale toezichthouder voor de rechter kan worden gebracht in dat specifieke land.

Het Hof is verder wel vaag over wat er precies valt onder die voorwaarden. Daarover moeten mogelijk nog andere rechtszaken komen die daar precedent voor scheppen. Wel mag in ieder geval de Belgische Gegevensbeschermingsautoriteit nu door met het onderzoek naar Facebook in het eigen land. Dat onderzoekt is dan los van een onderzoek dat de Ierse toezichthouder zelf al is begonnen.

Lees hier verder. © Tweakers.net

Minister: AVG-kosten niet volledig op bord van Europese bedrijven

De kosten en inspanningen om aan de eisen van Algemene verordening gegevensbescherming (AVG) te voldoen liggen niet volledig op het bord van Europese bedrijven, zo stelt demissionair minister Dekker voor Rechtsbescherming. Wel erkent de minister dat het voor kleine bedrijven lastig kan zijn om te bepalen of bijvoorbeeld Amerikaanse cloudleveranciers aan de AVG voldoen of daarmee aangepaste voorwaarden af te spreken.

Dekker reageerde op Kamervragen van PvdA-Kamerlid Kathmann over berichtgeving dat een meerderheid van de Nederlandse bedrijven niet aan de AVG voldoet. Een belangrijke reden is dat de bedrijven gebruikmaken van Amerikaanse clouddiensten. “Wat vindt u ervan dat kosten en inspanningen om de AVG-wetgeving op te volgen volledig op het bord komen te liggen van Europese bedrijven, terwijl die in hoge mate afhankelijk zijn van niet-Europese techgiganten?”, vroeg Kathmann.

Volgens Dekker is dat niet helemaal het geval. Bedrijven die niet in de EU gevestigd zijn maar wel door bedrijven hier worden ingeschakeld om gegevens te verwerken moeten ook aan de AVG voldoen. “Al met al kent de AVG dus een systeem waarin de verantwoordelijkheden en verplichtingen verdeeld zijn over betrokken partijen”, stelt de minister.

Onderhandelingspositie

Het PvdA-Kamerlid wilde verder van Dekker weten of hij het ermee eens is dat Nederlandse bedrijven een te slechte onderhandelingspositie hebben tegenover Amerikaanse techgiganten op het gebied van de implementatie van AVG-maatregelen. Daar kan de minister zich in vinden. De standaardcontracten van leveranciers bieden niet altijd de noodzakelijke garanties en de grote spelers zijn niet altijd bereid om het individuele contract aan de wensen van de afnemer aan te passen, laat hij weten.

Een bijkomend nadeel volgens Dekker is dat bedrijven soms veel moeite moeten doen om uit te zoeken hoe een dienst van de leverancier precies werkt en af aanvullende contractsbepalingen nodig zijjn. “Als vervolgens wordt geconcludeerd dat de leverancier geen geschikte verwerker is omdat deze onvoldoende garanties biedt en daar niets aan wil veranderen, is het gelet op het beperkte aantal aanbieders, maar zeer de vraag of er een geschikt alternatief beschikbaar is”, merkt de bewindsman op.

De minister voegt dat de Rijksoverheid het wel gelukt is om AVG-maatwerk af te dwingen in relatie met een leverancier van clouddiensten. Op dit moment wordt gekeken om deze aanpak uit te breiden naar andere strategische leveranciers van de Rijksoverheid. “Ik verwacht dat leveranciers eventuele geconstateerde risico’s serieus nemen en met de Nederlandse overheid zullen werken aan het gezamenlijk aanpakken daarvan”, stelt Dekker.

Lees hier verder. © Security.nl

‘Grote EU-boete dreigt voor Amazon om privacyschending’

Amazon hangt een boete van 425 miljoen dollar, omgerekend 349 miljoen euro, boven het hoofd wegens schending van de privacyregels.

Dat zeggen bronnen tegen The Wall Street Journal. De Luxemburgse toezichthouder op de Europese privacyregelgeving (in Nederland bekend als AVG) zou deze hoogste boete voor het schenden van de privacywet tot nu toe hebben voorgesteld aan de andere 26 toezichthouders van de Europese Unie.

Amazon is in de EU gevestigd in Luxemburg en valt daarom in eerste instantie onder de Luxemburgse toezichthouder CNPD.

Amazon zou persoonlijke gegevens hebben verzameld en gebruikt van individuen, aldus de krant, maar de bron wilde niets zeggen over de specifieke beschuldigingen tegen het bedrijf. De zaak zou niet met data-opslag in de clouddiensten van Amazon Web Services te maken hebben.

Europese Commissie

Tegen Amazon lopen bij de Europese Commissie ook onderzoeken vanwege vermeend misbruik van zijn machtspositie, doordat het bedrijf een dubbele rol heeft. Amazon is zowel zelf verkoper als marktplaats voor andere verkopers. Dat heeft geleid tot allerlei zorgen over het oneerlijk beperken van de concurrentie.

Techreuzen worden aangepakt

De pijlen van de Europese Commissie waren de afgelopen jaren vooral gericht op Google. Ook dat bedrijf maakte zich volgens Europa schuldig aan oneerlijke concurrentie, en kreeg al meerdere miljardenboetes opgelegd. Brussel zou opnieuw onderzoeken naar Google willen beginnen.

Ondertussen werkt Europa aan nieuwe regelgeving, om de steeds machtigere techreuzen aan te kunnen pakken.

© RTL Nieuws

© MeT-Groep