Categorie op Privacy

Scholen bewaren te veel en te lang gegevens van studenten en docenten

Onderwijsinstellingen bewaren te veel en te lang bepaalde informatie over studenten en docenten. Dat blijkt uit twee datalekken bij ROC Mondriaan in regio Den Haag en de Hogeschool van Arnhem en Nijmegen (HAN), maar het gaat vaker fout.

Volgens de Europese privacywet moeten gegevens worden verwijderd als ze niet meer nodig zijn, zegt ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius. Maar het gaat bij onderwijsinstellingen en organisaties wel vaker mis. “Hier wordt soms slordig mee omgegaan.” Hoe groot de problemen precies zijn, is niet bekend.

De HAN en het ROC werden de afgelopen tijd het slachtoffer van hacks waarbij losgeld werd geëist. In beide gevallen weigerden de scholen te betalen, waarna gegevens werden gelekt.

Deze gegevens waren erg privacygevoelig. In de dataset van het ROC trof NU.nl onder andere sollicitatielijsten, overlijdenskaarten van studenten, klachtenafhandelingen en andere gevoelige gegevens aan. Bij de HAN werden zelfs formulieren met de politieke voorkeur van een honderdtal studenten bewaard. Ook lekten lijsten waarop de functiebeperking van tweeduizend studenten werd vastgelegd.

Iets wat niet altijd mag, zegt Zuiderveen Borgesius. “Gegevens van studenten en docenten mogen alleen bewaard worden, als daar een geldige reden voor is. Ze mogen niet zomaar rondzwerven op een server.” Bij lijsten met de politieke voorkeur van studenten, of oude overlijdenskaarten van oud-studenten, is het dan ook maar de vraag of de gegevens bewaard hadden mogen blijven.

Gegevens op andere manier bewaren

De HAN en het ROC zeggen zich nu na de datalekken ook af te vragen of sommige van de gelekte gegevens bewaard hadden mogen blijven. Woordvoerders van beide scholen laten weten onderzoek te doen naar deze kwestie.

“De politieke voorkeur van studenten werd in 2011 gevraagd via een enquête voor een schoolkrant, wat toen iets heel logisch was”, vertelt een woordvoerder van de HAN. “Destijds is deze informatie bewaard gebleven, maar door het lek ontstaat nu de vraag of dit wel had gemogen. Die vraag gaan we de komende tijd beantwoorden.”

Een woordvoerder van het ROC vertelt dat hetzelfde onderzoek ook wordt gedaan bij de Haagse scholengemeenschap. “We kijken nu heel kritisch naar de gegevens die zijn gelekt, en gaan onderzoeken in hoeverre we in de toekomst anders moeten omgaan met het bewaren van gegevens van studenten en docenten.”

Lees hier verder. © Nu.nl

Fraudehelpdesk waarschuwt voor oplichtingstruc met BSN-nummer

De Fraudehelpdesk heeft diverse meldingen ontvangen van Nederlanders die zogenaamd door de ‘National Police’ of de ‘Dutch Supreme Court’ zijn benaderd. In een Engelstalig bericht krijgen zij te horen dat er zich zogenaamd ‘verdachte activiteiten’ hebben voorgedaan met het burgerservicenummer van degene die ze bellen. Hen wordt gevraagd om hun identiteit te bevestigen door hun BSN-nummer in te voeren. Dit is niets meer dan een oplichtingstruc om persoonsgegevens te bemachtigen en identiteitsfraude uit te voeren.

Dat schrijft de Fraudehelpdesk in een waarschuwing op haar website.

Fraudehelpdesk: ‘Hang op en bel niet terug’

Het zijn geen mensen die hun slachtoffers bellen: ze worden benaderd door een ingesproken voicemailbericht. De precieze boodschap is afhankelijk van het bandje dat mensen te horen krijgen. De ene keer wordt er zogenaamd een BSN-nummer misbruikt, de andere keer maakt men zich schuldig aan criminele activiteiten als witwassen en drugshandel. Er is ook een derde variant: deze zegt dat er een arrestatiebevel loopt tegen degene die telefonisch wordt benaderd.

In alle scenario’s krijgen degenen die gebeld worden de opdracht om actie te ondernemen om vervolging of identiteitsfraude te voorkomen. Bellers wordt gevraagd om op het getal 1 te drukken. Dan krijgen ze zogenaamd een agent aan de lijn die vraagt om hun identiteit te bevestigen met persoonsgegevens, waaronder hun BSN-nummer. Soms krijgen bellers te horen dat ze hun geld moeten ‘veiligstellen’ door het over te maken naar een speciaal bankrekeningnummer.

De Fraudehelpdesk raadt mensen aan die benaderd worden door de ‘National Police’ (Nationale Politie) of ‘Dutch Supreme Court’ (Hooggerechtshof) om geen persoonlijke informatie af te staan. Geld overmaken naar een ander bankrekeningnummer is eveneens onverstandig “aangezien u dit geld dan kwijt bent”. Verbreek de verbinding, bel geen telefoonnummers die onbekend zijn voor je terug en wees alert op toekomstig telefoonverkeer.

Lees hier verder. © VPNGids

Deloitte vraagt medewerkers naar QR-code, mag dat zomaar?

Het grote accountants- en adviesbureau Deloitte vraagt medewerkers sinds een week steekproefsgewijs naar een corona-QR-code als ze naar hun werk komen. Volgens deskundigen mag dat niet. Maar Deloitte zegt medewerkers een veilige omgeving te willen bieden.

“Het is een lastige afweging geweest. Besloten is: je hoeft niet naar kantoor te komen, maar als je wel wilt dan moet je de QR-code kunnen laten zien”, zegt Liesbeth Mol, lid van de Raad van Bestuur van Deloitte.

Daarbij gaat het om een vraag, onderstreept Deloitte. Medewerkers hoeven de code niet te laten zien als ze dat niet willen. Er is geen controle bij de deur, ook wordt er niets vastgelegd. Maar: medewerkers die de code niet willen laten zien, wordt gevraagd om weer naar huis te gaan.

Daarmee wordt volgens Deloitte niemand voor het blok gezet. Specialisten hebben het bedrijf volgens eigen zeggen verzekerd dat het wel mag. Mol: “Veel van onze mensen vinden dit prima. We praten met mensen die twijfelen. Tot nu toe zijn er geen protesten.”

Dilemma

Veel bedrijven worstelen nu met hetzelfde dilemma: vraag je personeel of ze wel of niet gevaccineerd zijn?

Bedrijven hebben een zorgplicht en veel werkgevers zijn bezorgd over de veiligheid op de werkvloer door de aanwezigheid van niet-gevaccineerde medewerkers. Maar vanwege de privacy mogen ze er niet naar vragen.

In Amerika en in een paar Europese landen eisen bedrijven een vaccinatiebewijs. Op de Nederlandse werkvloer blijft het betrekkelijk stil. Eind augustus maakte Leaseplan bekend alleen gevaccineerde medewerkers te willen terugzien.

Nog steeds hangt er veel onduidelijkheid rond de vraag of je wel of niet aan een werknemer mag vragen of hij gevaccineerd is, zegt arbeidsrechtadvocaat Maarten van Gelderen.

“Dat komt door zwalkend beleid. Eerst mocht het niet, daarna volgens de minister wel. Maar ik ben van mening dat je op basis van grondwettelijke bepalingen zo’n vraag niet zou mogen stellen.”

Ook vakbond FNV is duidelijk: “Dit gaat om het schenden van medische privacy”, zegt vicevoorzitter Kitty Jong. “Grondrechten van werknemers staan op het spel.”

Lees hier verder. © NOS

KvK gaat per 1 januari woonadressen van zzp’ers en bestuurders afschermen

De woonadressen van ondernemers en bestuurders zullen vanaf 1 januari volgend jaar niet zomaar meer te zien zijn in het Handelsregister van de Kamer van Koophandel. De ministerraad stemde hiermee in en volgt hiermee een advies van de Autoriteit Persoonsgegevens.

Alleen overheidsorganisaties of beroepsgroepen die hier wettelijke toestemming voor hebben, zoals de Belastingdienst, advocaten en deurwaarders, kunnen vanaf 2022 de woonadressen zien. Particulieren of andere bedrijven kunnen deze informatie dus niet zomaar meer opvragen. Adressen die bij de KvK als vestigingsadres zijn opgenomen, blijven wel opvraagbaar.

Om de woonadressen af te kunnen schermen, gaat het kabinet het Handelsregisterbesluit 2008 en de Datavisie Handelsregister wijzigen. Het kabinet gaat de adressen afschermen om ongevraagde marketing, intimidatie en bedreiging moeilijker te maken. Veel zzp’ers hebben echter een woonadres dat gelijk is aan het vestigingsadres; het kabinet wil onderzoeken welke opties er zijn om de privacy ook in deze gevallen beter te kunnen beschermen. In het geval dat het woonadres gelijk is aan het vestigingsadres, is het woonadres van een zzp’er in de praktijk alsnog opvraagbaar.

Het kabinet startte dit voorjaar met een traject waarbij bedrijven, burgers en overheden konden aangeven hoe ze het Handelsregister gebruiken en hoe dit register invloed op ze heeft. In augustus adviseerde de Autoriteit Persoonsgegevens al dat de woonadressen van zzp’ers afgeschermd zouden moeten worden. Hoewel dit in strijd is met het doel van het Handelsregister, namelijk om de rechtszekerheid in het economische verkeer te verzekeren, zou privacy van zzp’ers zwaarder wegen, stelde de privacytoezichthouder destijds.

Lees hier verder. © Tweakers.net

Lees ook “Adresgegevens duizenden zzp’ers liggen na 1 januari 2022 nog steeds op straat”, © de Ondernemer.

De vele haken en ogen aan biometrische identificatie

Is biometrische identificatie nu echt wel zo veilig? Dat zullen deelnemers aan de najaarsbijeenkomst van de Vereniging Voor Biometrie & Identiteit (VVBI) zich na afloop ongetwijfeld hebben afgevraagd. Zo begon de dag met een inleiding over hoe systemen voor gezichtsherkenning te misleiden zijn.

Het was de eerste fysieke bijeenkomst van de VVBI sinds de start van de coronacrisis. Ruim vijftig geïnteresseerden lieten zich er daarom niet van weerhouden om de vaak lange reis naar Enschede te maken, waar de gastvrijheid van de Grolsch Veste – het stadion van FC Twente – kon worden beleefd. Sommigen hadden vooraf hun gezicht laten scannen, waardoor zij via het VIP-systeem van het stadion naar binnen konden.

Na een warm welkom door voorzitter Ruud Huijts beet Luuk Spreeuwers van de Universiteit Twente het spits af met een inleiding over morphing. Dat is een technologie, waarbij uit twee foto’s van verschillende personen een derde foto wordt gemaakt die zoveel mogelijk op beide originele foto’s lijkt. Een crimineel zou zijn foto met een ‘look-a-like’ kunnen morphen en die persoon met de gegeneerde foto een paspoort kunnen laten aanvragen. Met dat originele paspoort kan vervolgens identiteitsfraude worden gepleegd in situaties dat niet de vingerafdruk aangeboden hoeft te worden. De gemiddelde controleur zal het niet opvallen dat de foto niet klopt, omdat paspoortfoto’s niet uitblinken in detailrijkdom.

Lees hier verder. © Beveiligingsnieuws

© MeT-Groep