Nieuwsarchief Privacy en Informatiebeveiliging nieuwsartikelen

Privacy perikelen

autoriteit persoonsgegevens FG

British Airways meldt diefstal financiële data 380.000 reizigers

De gegevens van 380.000 klanten van British Airways zijn gestolen. Het gaat onder andere om financiële data zoals creditcardgegevens, die klanten invoerden bij het boeken van vluchten.

Om precies te zijn gaat het om de gegevens van boekingen die tussen 21 augustus en 5 september via ba.com of de app van de luchtvaartmaatschappij zijn gemaakt, staat op de waarschuwingspagina. British Airways raadt getroffen klanten aan een nieuw wachtwoord in te stellen en contact op te nemen met hun bank over de te nemen stappen.

Om welke gegevens het precies gaat, meldt het bedrijf niet. Paspoort- en reisgegevens zijn in ieder geval niet weggesluisd, belooft British Airways. Niet duidelijk is hoe de kwaadwillenden de systemen wisten binnen te dringen. Volgens het bedrijf is het lek gedicht en zijn de autoriteiten op de hoogte gebracht.

Kamervragen over verplichte vingerafdruk op identiteitskaart

Er zijn staatssecretaris Knops van Binnenlandse Zaken Kamervragen gesteld over het plan van de Europese Commissie om het opnemen van de vingerafdruk op alle Europese identiteitskaarten te verplichten. Eerder reageerde de Europese databeschermingsautoriteit Giovanni Buttarelli al fel op het voorstel.

Volgens Buttarelli is er geen voldoende rechtvaardiging om twee soorten biometrische gegevens te verwerken en op te slaan, namelijk de vingerafdruk en een gezichtsafbeelding. Verder stelde de databeschermingsautoriteit (EDPS) dat het voorstel een vergaande impact voor de 370 miljoen EU-burgers zou hebben en dat 85 procent van de EU-bevolking aan verplichte vingerafdrukeisen zal worden onderworpen.

Kamerleden Den Boer en Verhoeven willen nu een reactie van Knops op de kritiek van Buttarelli. Ook moet Knops laten weten wat hij vindt van de conclusie van de EDPS dat het betreffende EU-voorstel niet voldoende rechtvaardigt waarom twee soorten biometrische data op identiteitskaarten opgeslagen moeten worden, terwijl het gestelde doel ook met minder indringende middelen bereikt kan worden.

Daarnaast moet de staatssecretaris zijn mening geven over het opnemen van een specifieke bepaling in de verordening dat lidstaten verplicht zijn de biometrische data die verwerkt zijn direct te verwijderen na het opslaan op de identiteitskaart en dat deze gegevens daarna in geen enkel geval voor andere doeleinden gebruikt mogen worden. Knops is gevraagd om de vragen  voor het algemeen overleg biometrie van volgende week te beantwoorden. Eerder liet het kabinet al weten dat het twijfelt over het nut van verplichte vingerafdrukken op de identiteitskaart.

Consumentenbond bezorgd over regels voor delen betaalgegevens

Bankklanten kunnen straks derde partijen toegang tot hun betaalgegevens geven. De Consumentenbond maakt zich echter zorgen over hoe deze toestemming tot stand komt. “Het is goed dat bedrijven buiten de financiële sector de concurrentie met banken aangaan, en zo hopelijk voor vernieuwing of scherpere prijzen zorgen.

Maar die bedrijven hebben daarvoor wel inzicht nodig in je bankgegevens. En betaalgegevens zijn zeer privé en bijzondere persoonsgegevens, dus is het belangrijk dat je weloverwogen akkoord geeft”, aldus Bart Combée, directeur Consumentenbond.

Combée vindt een acceptatieknop, zoals een cookiebutton, onacceptabel. Ook ziet hij ellenlange teksten niet zitten. Als het aan de Consumentenbond ligt komt er een “tweetraps-toestemming”. Wanneer een bedrijf bij de bank aanklopt met toestemming om betaalgegevens van een klant te gebruiken, moet de bank vervolgens een extra controle bij de klant uitvoeren om de toestemming te bevestigen. Verder moet er op worden toegezien dat bedrijven duidelijk zijn over welke gegevens ze gebruiken en waarvoor.

Keuringsinstantie keurt vanaf volgend jaar auto met onveilige slimme sleutel af

Kiwa SCM gaat auto’s met een onveilige keyless entry vanaf volgend jaar in Nederland afkeuren. Dat zegt de instantie. Daardoor kunnen eigenaren bij diefstal problemen krijgen met de verzekering.

De instantie heeft sterke aanwijzingen dat het aantal diefstallen van auto’s met een dergelijk systeem snel aan het stijgen is. Diverse dure autotypes met keyless entry worden dit jaar veel vaker gestolen dan vorig jaar en daardoor denkt de keuringsinstantie dat criminelen op steeds grotere schaal van deze truc gebruik maken. De hack zou meer voorkomen dan het traditionele ruitje intikken. Er zijn geen concrete cijfers van het aantal diefstallen door middel van misbruik van het keyless entry-systeem. Bij dat systeem communiceren de sleutel en de auto met elkaar. Als de auto merkt dat de sleutel in de buurt is, gaat hij open en kan de eigenaar of een kwaadwillende hem in veel gevallen ook starten.

Auto’s mogen na het afkeuren wel blijven rijden, maar verzekeringen kunnen weigeren uit te keren bij een diefstal. Eigenaren van de auto’s kunnen er zelf voor kiezen extra diefstalbeveiliging op de auto te zetten.

Achtergrond: de strijd om de autodata

Heb je er wel eens bij stilgestaan dat de meeste moderne auto’s allerlei data vastleggen? Auto’s die connected zijn, kunnen die data zelfs verzenden. Feitelijk is die data echter van jou. Het kabinet vindt dat de consument de baas moet worden over zijn eigen data. 

Letterlijk staat er: “Om ieders privacy te waarborgen, leggen we spelregels vast over de eigendom en het gebruik van reisdata.” Reisdata dus. Dat zijn alle gegevens die worden gegenereerd als je je verplaatst van A naar B. Dat kan met de auto zijn of met het openbaar vervoer, maar wij richten ons op de ‘reisdata’ die worden geproduceerd als je met de auto rijdt.

Met alle elektronische veiligheidssystemen en informatietechnologie die worden toe­gepast, kun je zeggen dat een auto zoiets als een brein heeft. Dat brein volgt precies wat de auto doet en registreert ook waar de auto is en op welk moment. Al die informatie is te herleiden tot het kenteken en het VIN-nummer van je auto en daarom is het persoonlijke informatie. Bovendien legt je auto ook informatie vast die over jou persoonlijk gaat, bijvoorbeeld over je rijstijl.

De verschillende systemen in je auto zijn allemaal aan elkaar gekoppeld, dus neemt het brein in je auto niet alleen waar dat je 100 km/h rijdt, het ziet ook (dankzij verkeersbordherkenning) dat je dat doet op een 80 km/h-weg in het donker (verlichting is aan), terwijl het regent (ruiten­wissers zijn aan). Bovendien maakt je auto in veel gevallen contact met je smartphone of tablet en kan de auto communiceren met de omgeving, bijvoorbeeld met andere auto’s of met systemen langs de weg. Als je al die gegevens eindeloos met elkaar zou combineren, ontstaat een berg data over jou en je auto.

Auto’s die connected zijn, versturen dus periodiek hun data. “Die komt doorgaans in een server bij de autofabrikant en die beslist wat er met die data gebeurt, wie er gebruik van mag maken en onder welke voorwaarden”, legt Leo Bingen, Smart Mobility & ITS-adviseur bij de RAI Vereniging, uit…

…De niet-merkgebonden markt, zoals verzekeraars, leasemaatschappijen en consumentenorganisaties, willen echter een veel vrijere en directere toegang tot deze voertuigdata om digitale diensten te kunnen aanbieden zonder tussenkomst van de fabrikant. Deze discussie is nog ­volop gaande.” 

“Het beslissen over wie er toegang heeft tot de data uit jouw auto, zou een apart moment moeten worden in het aanschafproces van de auto. Het moet een op zichzelf staand contract worden. Niet alleen bij nieuwe ­auto’s, maar ook bij aanschaf van een gebruikte auto zou je als consument weer moeten kunnen beslissen waar de data uit je auto naartoe gaan. Ook gedurende de gebruiksperiode zou je als klant de toestemmingen, zowel opt-in als opt-out, moeten kunnen aanpassen, trouwens. Het gaat erom dat de regie over deze informatie bij de automobilist ligt en bij niemand anders.”

Spelregels voor sensoren in de publieke ruimte

Handig: een lantaarnpaal die aangaat als iemand in het donker langsloopt. Maar wat als het een lantaarnpaal, microfoon, beweging­sensor en beveiligingscamera in één is? Waar worden deze gegevens opgeslagen? En wie mag ze gebruiken?

Sensoren verzamelen informatie over de wereld om ons heen. Ze kunnen steeds meer: locaties bijhouden, temperatuur meten, geluid opnemen, objecten en mensen herkennen. Het verzamelen, opslaan, delen en combineren van al deze gegevens kan tal van gevolgen hebben. Zowel op collectief als individueel niveau. ‘Weet je of iemand op het Malieveld in Den Haag was, precies tijdens een protest van een radicaal gezelschap, dan kun je ineens heel veel zeggen over die persoon,’ legt Marc de Vries van Geonovum uit. Deze organisatie maakt geo­informatie van de publieke sector toegankelijk en helpt de overheid deze data te benutten.

‘Gemeenten hebben regels voor aanplakbiljetten, vechthonden, prostitutie. Maar niet voor sensoren en de data die zij verzamelen,’ vertelt hij. Daarom schreef hij de Handreiking Spelregels Data Ingewonnen in de Openbare Ruimte…

…Gemeenten zijn van oudsher verantwoordelijk voor het beheer van hun openbare ruimte. Met de komst van sensoren komen daar mogelijk ook nieuwe verantwoordelijkheden bij. Denk aan het beschermen van privacy van inwoners, zorgen voor een rechtvaardige behandeling en een gelijk speelveld voor bedrijven. De Vries: ‘Gemeenten beheren zo’n 95% van de openbare ruimte. En daarmee de kabels, muren en andere infrastructuur waar sensoren gebruik van moeten maken. Gebruik die positie bijvoorbeeld om eigenaarschap te claimen over data die in de publieke ruimte worden ingewonnen.

De gemeente zou mogelijk ook een rol kunnen spelen bij die handhaving. Bijvoorbeeld door een gemeentelijke sensorverordening in te stellen, net als een APV (Algemene Plaatselijke Verordening). Hetzelfde gaat op voor andere datadomeinen. Door bepaalde regels in te zetten, kan de gemeente in de toekomst misschien taken van de mededingingsautoriteit op lokaal niveau op zich nemen.’

Alle spelregels zijn te vinden op meteninhetopenbaar.locatielab.nl.