Categorie op Privacy

Privacyrisico’s van TikTok – Is alle ophef terecht?

TikTok is een Chinese app van techbedrijf ByteDance, waarop gebruikers korte video’s kunnen maken en delen. Het doet denken aan Vine, een vergelijkbaar deelplatform voor video’s dat enkele jaren geleden populair was maar nu niet meer bestaat. Tiktok is razendpopulair, en bovendien is het de eerste Chinese social media-app die in het in de westerse wereld zo goed doet. Toch blijkt er uit recentelijk onderzoek van alles mis te zijn met de veiligheid van de app. Verscheidene instanties en nieuwsoutlets trekken inmiddels aan de bel en berichten over de problematiek.

De Autoriteit Persoonsgegevens stelde eerder al een onderzoek in naar TikTok, omdat vooral kwetsbare groepen, zoals kinderen en jongeren, gebruikmaken van de app. In december 2019 werd het verboden voor Amerikaanse militairen om TikTok te gebruiken, omdat de app een ‘cyber threat’ zou zijn. Ook de privacywaakhond van de EU besloot een kijkje te nemen naar het privacybeleid van TikTok, en zelfs de CEO van Reddit veroordeelde de praktijken van TikTok met harde bewoording. VPNgids nam TikTok onder de loep en includeerde in haar analyse de meest recente berichtgeving en onderzoeken over de app. De bevindingen zijn uiterst verontrustend. Welke privacy- en veiligheidsrisico’s kenmerken TikTok nu precies, en wat kun je doen om deze zo veel mogelijk te beperken?

‘Het feit dat meerdere bronnen onafhankelijk van elkaar stellen dat TikTok eigenlijk niets meer is dan spyware met het label “social media” is voor ons reden om het gebruik van deze app op dit moment expliciet af te raden. Later dit jaar komt de Autoriteit Persoonsgegevens met een officieel onderzoek naar TikTok, al laat dit mogelijk dus nog even op zich wachten.’

We vroegen onderzoeksjournaliste en schrijfster Maria Genova naar haar visie op TikTok. Volgens Genova is Tiktok inderdaad een bijzonder goede tool voor massa-spionage. Genova vertelt: “Niet voor niets hebben diverse landen het verboden. Het is ongelooflijk hoeveel informatie zo’n app uit je telefoon trekt. (…) als het zo massaal gedownload is zoals in Nederland, kun je zowat de hele bevolking observeren en conclusies trekken.”

Lees hier verder. © VPNGids

Recht op inzage, afschrift en logging van patiëntengegevens: aanvullende regelgeving van kracht

Vandaag treedt aanvullende regelgeving in werking over digitale patiëntgegevens. De patiënt heeft vanaf vandaag:

  • Het recht op elektronische inzage of afschrift van de gegevens die digitaal zijn uitgewisseld met andere zorgaanbieders via een elektronisch uitwisselingssysteem of gericht berichtenverkeer, bijvoorbeeld via het Landelijk Schakelpunt, inzageportalen en de Edifact-postbus.
  • Het recht op elektronische inzage of afschrift van het (papieren) medische dossier.
  • Het recht op inzage of afschrift van loggingsinformatie.

In deze blog beantwoord ik zes vragen over deze nieuwe regels, die voortvloeien uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’).

Lees hier verder. © Solv

Apple voorziet apps van privacylabel en vereist toestemming voor tracking

Apple heeft tijdens ontwikkelaarsconferentie WWDC verschillende nieuwe privacyfeatures voor iOS en macOS aangekondigd, waaronder een privacylabel voor apps en de vereiste dat apps voortaan toestemming van gebruikers moeten krijgen om hen te tracken.

In het verleden liet Apple-topman Tim Cook geregeld weten dat Apple privacy als een mensenrecht beschouwt, een boodschap die gisterenavond door Craig Federighi, Apples senior vice-president software engineering, werd herhaald. “Privacy is nu belangrijker dan ooit”, aldus Federighi. Om gebruikers meer controle over hun gegevens te geven kondigde Apple verschillende nieuwe features aan.

IOS-gebruikers hadden al de optie om hun exacte locatie met app-ontwikkelaars te delen. Straks wordt het ook mogelijk om een locatie bij benadering met apps te delen. Tevens worden er aanpassingen doorgevoerd zodat gebruikers via de statusbalk weten wanneer de camera of microfoon iets opnemen.

Een andere nieuwe feature is dat apps toestemming aan gebruikers moeten vragen om hen over apps en websites van andere bedrijven te volgen om zo gerichte advertenties te tonen. Het gaat dan ook om het koppelen van informatie over de gebruiker die via een app of website van één bedrijf is verkregen met informatie die door andere bedrijven is verzameld voor gerichte advertenties of het meten van advertenties.

Apple verplicht al dat apps over een privacybeleid beschikken. Om het voor gebruikers duidelijker te maken hoe een app met privacy omgaat is er een privacylabel ontwikkeld. Gebruikers moeten straks in één oogopslag kunnen zien welke gegevens een app verzamelt en hiermee doet. Apple vergelijkt het met de ingrediëntenlabels die bij voedingsproducten worden gebruikt. Het privacylabel is straks zichtbaar op de productpagina van apps in alle appstores van Apple.

Lees hier verder. © Security.nl

Bedrijven beschuldigd van het illegaal uploaden van privédata naar Facebook voor advertenties

Verschillende bedrijven uploaden privédata naar Facebook om gebruikers op het platform gerichte advertenties te tonen, zonder dat ze deze gegevens mogen gebruiken, zo stelt Privacy International op basis van eigen onderzoek. Adverteerders en bedrijven kunnen persoonlijke data die ze van internetgebruikers hebben, zoals e-mailadressen of telefoonnummers, uploaden naar Facebook, om deze gebruikers vervolgens gerichte advertenties op het platform te laten zien.

Onderzoekers van Privacy International ontdekten dat hun privédata was geüpload door bedrijven met wie ze geen enkele relatie hadden. Het bleek vervolgens een zeer lastig en tijdrovend proces om te achterhalen hoe deze bedrijven aan de data waren gekomen, als dat al lukte. Wat duidelijk werd is dat sommige bedrijven op Facebook adverteren met gegevens die ze niet mogen gebruiken, zo laat de privacyorganisatie weten.

“Het maakt niet alleen duidelijk hoe weinig gebruikers kunnen weten over wat er achter de schermen plaatsvindt, als het om online gerichte advertenties gaat, maar legt ook ongeoorloofde praktijken bloot”, aldus Privacy International. “Keer op keer was er geen transparantie of juridische rechtvaardiging voor het uploaden en gebruik van deze data en dat is slechts het begin.”

De onderzoekers stellen dat er verschillende redenen kunnen zijn hoe de bedrijven aan de data kwamen. Zo komt het voor dat een bedrijf nooit zijn klantenbestand heeft opgeschoond. Een andere mogelijkheid is dat een bedrijf gegevens bij een andere partij heeft gekocht en heeft samengevoegd met de eigen klantenlijst. Marketingbedrijven die bedrijven lijsten met potentiële klanten aanbieden kunnen ook een oorzaak zijn.

“Maar wat de reden ook is, het resultaat is problematisch en roept vragen onder de databeschermingswetgeving op”, stelt Privacy International. Onder andere datingapp Happn, Led Zeppelin, Volkswagen, Cisco en Dr Oetker bleken gegevens van de onderzoekers naar Facebook te hebben geüpload, ook al hadden die geen relatie met de bedrijven.

Lees hier verder. © Security.nl

Mag een bank zomaar een identiteitsbewijs eisen?

Banken en financiële instellingen zijn wettelijk verplicht om de identiteit van hun cliënten te controleren. Maar mag dat ook zonder directe aanleiding en wanneer de cliënt zijn identiteit eerder al heeft bewezen? En is die extra kopie van je identiteitsbewijs wel veilig? Radar zoekt het voor je uit. 

Bij creditcardleverancier ICS loopt een breed identificatietraject. Sinds begin 2019 en nog tot 2022 contacteert ICS al zijn cliënten met de vraag hun identiteit te bewijzen en gegevens te controleren. Creditcardhouders kregen deze maand een brief met het verzoek een foto van het identiteitsbewijs met ook een foto van zichzelf via een digitaal platform aan ICS te bezorgen. Doen ze dat niet tijdig, dan wordt hun kaart geblokkeerd.

De betaaldienstverlener haalt de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) als reden aan. Die wet, actief sinds 2008, verplicht banken en financiële instellingen om de identiteit van hun cliënten te controleren, om misbruik te voorkomen. Je kan geen bankrekening openen of creditcard aanvragen zonder een identiteitsbewijs voor te leggen. 

Maar als je je identiteit al hebt bewezen en je doet geen direct beroep op de dienstverlening van de bank of instelling, mag ICS dan ook eisen dat je een foto van je identiteitsbewijs maakt? Wat stelt de Algemene verordening gegevensbescherming (AVG), de Europese regels voor de verwerking van persoonsgegevens?

Radar vroeg het aan Autoriteit Persoonsgegevens (AP), de toezichthouder op de gegevensverwerking. De AP geeft aan hierover veel signalen te ontvangen, maar moet het antwoord voorlopig schuldig blijven. ‘De AP gaat bij ICS Cards na of hun gegevensverwerking wel AVG-proof is’, geeft woordvoerder Caspar Itz aan. ‘Het is belangrijk om dit heel precies uit te zoeken. Klanten moeten er blind op kunnen vertrouwen dat hun bank zorgvuldig met hun (gevoelige) informatie omspringt.’

Lees hier verder. © AvroTros/Radar