Gemeente Emmen onder vuur over late bekendmaking van datalek

| AE 13563 | Privacy | 8 reacties

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.
Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?
De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

  • Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

| AE 13536 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?
Algemeen is het zeker toegestaan om een persoonsgebonden abonnement te verkopen. Overeenkomsten voor dienstverlening zijn namelijk als hoofdregel altijd met een specifiek persoon, niet met iedereen die een pasje kan laten zien.

Vanuit die regel is het dus ook in beginsel toegestaan om via het pasje te regelen dat je met de abonnementshouder te maken hebt, en niet met een willekeurige lener van het pasje. Een pasfoto opnemen is dan ook een op zich logisch middel.

Alleen loop je dan wel tegen het probleem aan dat je dan de foto tot biometrisch persoonsgegeven maakt: je gebruikt de foto als herkenningsmiddel. Dat mag alleen onder de strenge voorwaarde dat je geen reëel alternatief hebt, zoals de naam via een overheidsidentiteitsbewijs controleren of een eenmalige scanbare code op je telefoon laten zien die je via je account kocht.

Wat hier verder nog gebeurt, is dat de dienstverlener zo te lezen met een machine learning algoritme onderzoekt of de foto geschikt is voor het beoogde doel. Dat is toegestaan áls het onderliggende gebruik van de foto (als identificatiemiddel van de abonnementshouder) dat ook is. Wel moet de dienstverlener natuurlijk voorkomen dat de ML-aanbieder de foto gaat hergebruiken voor trainingsdoeleinden (training van het ML-algoritme, voor de duidelijkheid).

Arnoud

Mag ik van de AVG sfeerimpressies maken van een optreden?

| AE 13508 | Privacy, Uitingsvrijheid | 13 reacties

Een lezer vroeg me: Ik ben door een vriend gevraagd sfeerimpressies te maken tijdens een optreden in een café. Ze vragen geen toegangsgeld, het café is voor iedereen toegankelijk tijdens het optreden. Het komt neer op het publiek filmen vanaf de achterste rij, ik ga niet inzoomen op individuele aanwezigen. Mag dit van de AVG?… Lees verder

Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

| AE 13443 | Ondernemingsvrijheid, Regulering | 9 reacties

De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede… Lees verder

Juridisch gezien is een Excelfilter een algoritme en dat is maar goed ook

| AE 13429 | Informatiemaatschappij | 43 reacties

Vier Utrechtse gemeenten, Nieuwegein, IJsselstein, Houten en Lopik, hebben bij de bestrijding van bijstandsfraude gebruikgemaakt van een verboden overheidsalgoritme. Dat meldde Security.nl onlangs. Het betreft hier de “Fraudescorekaart”, een Excelsheet die in 2003 werd ontwikkeld (en nooit werd bijgewerkt, wat op zich ook nog opmerkelijk is). Omdat het ophef in de pers (dank u Argos) besloot… Lees verder

Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

| AE 13404 | Ondernemingsvrijheid, Privacy | 16 reacties

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar… Lees verder

Italiaanse afvalverwerker krijgt boete voor digitale schandpaal op Facebook

| AE 13400 | Privacy | 12 reacties

Een Italiaanse afvalverwerkingsdienst heeft een boete van 200.000 euro gekregen wegens het plaatsen van video’s van afvaldumpers op Facebook. Dat las ik bij Security.nl. De afvalverwerker plaatste verborgen videocamera’s om mensen te betrappen die illegaal afval dumpen. Beelden werden in sommige gevallen op Facebook geplaatst. Dat is in strijd met de AVG, aldus de Italiaanse… Lees verder

“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

| AE 13370 | Informatiemaatschappij | 13 reacties

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of… Lees verder

Mijn werkgever laat concullega’s op Linkedin ons in de gaten houden

| AE 13347 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: De HR afdeling van mijn werkgever heeft een afspraak met een ander bedrijf om elkaars werknemers te scannen op Linkedin op hun beschikbaarheidsstatus. De HR medewerker die het betreft heeft bij een vorige werkgever op zijn/haar kop gekregen, omdat er werknemers vertrokken zonder dat de werkgever actie hadden kunnen ondernemen, om… Lees verder