Ook back-ups zijn niet veilig
mrt 5, 2012 IT Infrastructuren, Privacy
Amerikaanse autoriteiten kunnen nu al bij passagiersdata van Europeanen, doordat hosters van dergelijke data een backup/mirror-systeem hebben in de Verenigde Staten. Ook Google bouwt nu zo’n database.
Een grote Duitse hoster van Passenger Name Records, data van alle passagiersgegevens van Europeanen, blijkt een mirror van zijn database te hebben in de Verenigde Staten. Daardoor zijn alle gegevens direct opvraagbaar door de Amerikaanse autoriteiten, zonder dat daarvoor toestemming nodig is van de Europese Unie of Nederland. Dat stelt Europarlementarier Sophie in ‘t Veld, die daarover vragen heeft gesteld aan de Europese Commissie.
Tags: Persoonsgegevens, Privacy
‘t is treurig
mrt 2, 2012 IT Beveiliging, IT Industrie, Privacy
Met de veiligheid van privébestanden zoals foto’s is het op Android-toestellen nog slechter gesteld dan bij de iPhone. Android-gebruikers hebben geen enkele methode om te voorkomen dat apps ongewild en heimelijk al hun foto’s en video’s uploaden.
Er is geen enkele permissie of melding als dit gebeurt. De New York Times liet een app bouwen om de kwestie te testen. Alle Android-apps kunnen in principe bij de foto’s en video’s, en met toegang tot het internet (wel geregeld met een permissie, maar bijna alle apps vragen die) kunnen de bestanden stiekem worden geüpload.
De test-app van de Times publiceerde als demonstratie de laatst genomen foto automatisch online. Het is niet bekend of er ‘in het wild’ apps zijn die misbruik maken van deze mogelijkheid.
Google erkent het probleem en stelt dat het destijds bewust het bestandssysteem zo heeft ingericht, omdat bij eerdere generaties smartphones nog veelvuldig gebruik werd gemakt van externe geheugenkaartjes.
Tags: Google, Persoonsgegevens, Privacy
Biometrische database voor paspoort schiet doel voorbij
feb 29, 2012 IT Beveiliging, Privacy
Op verzoek van minister Spies van Binnenlandse Zaken heeft professor R. Bekker onderzoek gedaan naar de problemen met de invoering van biometrische gegevens als gezichtsopname en digitale vingerafdrukken in het paspoort Een van de adviezen die de onderzoeker geeft, is dat het in werking brengen van een centrale database van vingerafdrukken ten behoeve van het ministerie van Justitie, moet worden heroverwogen. Zeker totdat de technologie betrouwbaar is.
Het blijkt het ministerie van Justitie te zijn geweest die gaandeweg het lange invoeringstraject bij het leidende ministerie van Binnenlandse Zaken het verzoek heeft gedaan een centrale database in te richten, zo heeft Bekker ontdekt. Binnenlandse Zaken had daar niet zo’n behoefte aan, maar nam het mee in het traject. Volgens Bekker zag Justitie “goede kansen voor terrorisme- en criminaliteitsbestrijding”, schrijft hij in het rapport aan de minister.
Tags: Biometrie, Persoonsgegevens, Privacy
Vrijheid van meningsuiting gaat boven ACTA
feb 16, 2012 Internet, Privacy
Het anti-piraterijverdrag ACTA moet door het Europese Hof van Justitie worden bekeken op aantasting van de vrijheid van meningsuiting en de internetvrijheid. Dat vindt Eurocommissaris Viviane Reding.
Daarmee schaart Reding zich onder meer achter het door de Tweede Kamer aangenomen motie die het tekenen van ACTA door de regering uitstelt. Eerst moet duidelijk worden dat de burgerrechten niet worden geschonden, vindt een meerderheid van de Tweede Kamer. Reding is het daar mee eens.
Reding zegt in een in een verklaring dat de vrijheid van meningsuiting en andere burgerrechten boven die van de rechten van copyrighthouders gaat. Maar, zegt ze, ‘European policy therefore should aim at mutually balancing the respect for both fundamental rights, without calling into question their essence’. Maar om aan alle zorgen die er in Europa leven tegemoet te komen, juicht ze een visie van het Europese Hof toe. Voor ACTA zie ook hier.
Tags: ACTA
Hypponen over security en privacy
feb 8, 2012 IT Beveiliging, Privacy
Deze keer een paar erg interessante TED-presentaties van de Fin Mikko Hypponen
over online security en privacy. Tijdens de jaarlijkse ‘TED Talks’ conferenties houden allerhande invloedrijke denkers een lezing van maximaal twintig minuten over hun eigen expertise. Deze voordrachten staan allemaal online en gaan in eerste instantie over technologie, entertainment en design (TED), maar gaan steeds vaker ook over wetenschap, kunst, economie en maatschappelijke onderwerpen. Hier heb ik twee video’s van Hypponen opgenomen die gaan over de bedreiging door virussen van onze tendens vanuit de cloud te gaan werken en de bedreiging voor de privacy door alle maatregelen die overheden nemen om bedreigingen te kunnen opsporen.
Cloud en Privacy: oops….
feb 2, 2012 Compliance, Privacy
Aanbieders van clouddiensten worden door de Europese Commissie juridisch aangepakt als zij data uitleveren aan de Amerikanen. Maar als zij weigeren legt de Verenigde Staten die bedrijven sancties op. Dat is een van de gevolgen van de nieuwe Europese wet op de informatiebescherming. Dat nieuwe wetsvoorstel beschermt niet tegen de Patriot Act. Dat is een wet waarmee de Amerikaanse autoriteiten onder meer de overdracht van data kunnen eisen van Amerikaanse bedrijven, ook als die data is opgeslagen in datacenters die op Europese bodem staan. Daardoor kunnen de Amerikanen, als de overheid daar opdracht toe geeft, graaien in de privé-informatie van Europeanen die bijvoorbeeld is opgeslagen op de servers van bedrijven als Google, Microsoft en Oracle.
Eurocommissaris Neelie Kroes zei deze week in een voordracht bij Microsoft in Brussel dat het niet uitmaakt ’if a company offers goods or services to people in the EU, or is monitoring them, then it shouldn’t matter where that company’s based – in Madrid, Mumbai or Mountain View. Our rules should apply to the data’. Het moet volgens Kroes niet uitmaken waar een Europeaan zijn data heeft opgeslagen, die data moet altijd onder de Europese wet- en regelgeving vallen.
Maar navraag bij Eurocommissaris Viviane Reding, verantwoordelijk voor de nieuwe Data Protection Regulation, leert dat aanbieders van clouddiensten nog steeds in een juridische spagaat komen als zij worden geconfronteerd met een Amerikaans verzoek om data te verstrekken.
Tags: Persoonsgegevens, Privacy
Nieuw EPD geen privacy risico ?
jan 20, 2012 Document Management, Privacy
Het Doorstartmodel voor het private landelijke Elektronisch Patientendossier (EPD) levert geen risico op voor privacyschendingen. Wel moet de toekomstige praktijk goed in de gaten worden gehouden. Het College Bescherming Persoonsgegevens (CBP) vindt dat de plannen voor de doorstart van het Elektronisch Patientendossier ‘geen bijzondere risico’s bevatten’ op overtredingen van de Wet bescherming persoonsgegevens (Wbp). Dat schrijft de toezichthouder in een brief aan de Vereniging van Zorgaanbieders voor Zorgcommunicatie. Dat is een vereniging die speciaal is opgericht door de zorgsector om de private doorstart van het EPD mogelijk te maken.
Het CBP zegt wel dat zijn conclusie ‘slechts een beoordeling is van het Doorstartmodel betreft en niets zegt over de praktijk’, dus de dagelijkse uitwerking van de plannen. ‘Het CBP zal blijven toezien op de gang van zaken rond het landelijke EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens’, zegt het college in een verklaring.
Tags: Persoonsgegevens, Privacy
Een nieuw Privacy Directive ?
Aan het eind van januari moeten de nieuwe voorstellen voor een nieuwe Europese gegevensbeschermingsregeling worden ingediend. Wat zijn de implicaties van deze voorstellen ?
De voorstellen hebben een revolutionaire potentie in het vergroten van de beveiligingsniveaus en kunnen op een permanente wijze de manier veranderen waarop gebruikers het WWW ervaren. Dat gaat niet zonder nadeel, want een hoge bescherming van persoonlijke gegevens gaat meestal niet samen met grote gebruiksvriendelijkheid. Een nieuwe regeling is echter wel noodzakelijk; de bescherming van persoonsgegevens heeft de gehele revolutie van het internet en van sociale media niet meegemaakt. Het dateert uit 1995. Ondanks de noodzaak om oude regels aan te passen aan een nieuwe wereld, hebben de discussies over de vervanging van het Data Protection Directive jaren gevergd, zonder in realiteit ook maar iets op te leveren.
Maar nu lijkt het moment van de waarheid toch aangebroken te zijn. De voorstellen moeten tegen het eind van januari worden gepubliceerd. Een concept circuleert al onder EU functionarissen. Uiteraard is dit voorstel gelekt, waardoor er een idee bestaat wat de ideeën zijn van Viviane Reding, de eurocommissaris die eigenaar is van het dossier.
De makke van een privaat EPD
dec 22, 2011 Document Management, Privacy
De eerste barsten verschijnen al in het private gezondheidsdossier ! Politici komen er achter dat ‘privaat’ betekent dat publieke zeggenschap over de ontwikkeling en samenstelling ervan minimaal is.
Minister Schippers staat machteloos tegen de zorgverzekeraars die huisartsen verplichten aansluiting te zoeken bij het private gezondheidsdossier. Schippers geeft de eigen machteloosheid openlijk toe. Ze zei in een debat in de Tweede Kamer vanmorgen dat zorgverzekeraars in hun contracten met huisartsen een verplichte aansluiting op het Landelijke Schakelpunt (LSP) mogen opnemen. ‘Zorgverzekeraars mogen extra kwaliteitseisen stellen aan de artsen’, verklaarde de minister van Volksgezondheid. ‘Ik heb geen enkele wettelijke basis om daarin in te grijpen’.
Een groot deel van de Tweede Kamer eiste een dergelijk ingrijpen van de minister. Die eis is opgekomen nadat bekend werd dat huisartsen door verzekeraars contractueel worden gedwongen zich aan te sluiten bij het private initiatief. Wie betaalt, bepaalt, zoals wel wordt gezegd. Hier is dat in grote mate het geval. De zorgverzekeraars mogen de beurs trekken om het initiatief, waarover al jaren werd gesteggeld, te redden. Politici moeten dan ook niet vreemd opkijken als er verplichtingen zoals deze worden opgelegd.
Schippers zegt niet meer te kunnen doen dan met Zorgverzekeraars Nederland om tafel te gaan en het nog eens over deze aansluiting te hebben.
Tags: EPD
Maatregelen tegen Patriot Act ?
dec 17, 2011 Compliance, Privacy
Eurocommissaris Viviane Reding gaat mogelijk eind januari met voorstellen komen om de persoonlijke gegevens van Europese burgers uit de graaiende handen te houden van de Amerikanen.
Reding, verantwoordelijk voor justitie, grondrechten en burgerschap, wil over een maand komen met een herziening van de Richtlijn gegevensbescherming uit 1995. Deze Data Protection Directive staat rechtstreeks tegenover de Patriot Act. Die wet schrijft voor dat Amerikaanse bedrijven data moeten overdragen aan de Amerikaanse regering als die daar om vraagt, ongeacht waar die data opgeslagen zijn. Daarbij mag zo’n bedrijf daarover niets zeggen tegen de eigenaar van die data.
De kwestie speelt vooral bij aanbieders van cloud-oplossingen, zoals Microsoft en Google. De Tweede Kamer heeft naar aanleiding hierover al vragen gesteld aan de ministers Opstelten en Donner. De laatste heeft de Tweede Kamer nu opnieuw een brief geschreven.
Tags: Persoonsgegevens, Privacy
Amerikaanse cloud niet gewenst
dec 15, 2011 Compliance, Internet, Privacy
Het Britse defensiebedrijf BAE ziet af van een contract met Microsoft voor clouddienst Office 365. Gevoelige gegevens kunnen in handen komen van de Amerikaanse overheid. De Britten wilden een contract afsluiten met Microsoft voor breed gebruik van de Office-applicaties in de cloud. Daar is op de valreep van afgezien nadat de bedrijfsjuristen geen garantie kregen van Microsoft dat de data nooit Europa zou verlaten. De data zou worden opgeslagen in een datacenter in Dublin, maar Microsoft wildegeen garantie geven dat de informatie daar ook echt zou blijven.
Immers, het is Microsoft zelf geweest die eerder dit jaar openbaarde dat het zich heeft te houden aan de Amerikaanse wet, waaronder de Patriot Act. Die wet schrijft voor dat Amerikaanse bedrijven data moeten overdragen aan de Amerikaanse regering als die daar om vraagt. Ongeacht waar die data opgeslagen is. Een Microsoft-datacenter in het Ierse Dublin is dus niet veilig voor de graaigrage Amerikaanse veiligheidsdiensten.
Tags: Cloud Computing, Persoonsgegevens, Privacy
Opt-in of opt-out ?
nov 16, 2011 Digital Life, Privacy
Google moet in de toekomst toestemming vragen aan internetgebruikers of gegevens over de router mogen worden opgeslagen. Dat wil een meerderheid in de Tweede Kamer, blijkt na een rondgang van BNR Nieuwsradio.
Google maakte gisteren bekend dat gebruikers zichzelf moeten afmelden, als zij niet willen dat gegevens over de WiFi-router en de locatie worden opgeslagen. Consumenten moeten dan de naam aanpassen en er de omslachtige tekst ‘_nomap’ in verwerken. Pas dan belooft Google de gegevens niet op te slaan en de al opgeslagen data te vernietigen.
Op BNR zegt IT-journalist Brenno de Winter het een bizar idee te vinden dat Google op deze manier bepaalt hoe de wereld en de wet in elkaar zitten. ‘Het uitgangspunt bij de wet bescherming persoonsgegevens is heel simpel. Als jij gegevens van een burger wilt verwerken dan moet je de ondubbelzinnige toestemming van die burger hebben’.
De Tweede Kamer vindt de oplossing van Google de omgekeerde wereld. ‘We vinden dat je zelf moet kunnen beslissen of je het wenselijk vindt dat mensen weten wat jouw surfgedrag is en hoe jij met je computer en je router omgaat’, zegt VVD-Kamerlid Ard van der Steur.