AP: Meer ransomware-aanvallen in 2023 dan eerder bekend
Uit de eerste ransomware-rapportage van de Autoriteit Persoonsgegevens (AP) blijkt dat er in 2023 meer ransomware-aanvallen in Nederland hebben plaatsgevonden dan tot nu toe algemeen bekend was. De AP telde over het hele jaar zeker 178 geslaagde aanvallen, waarbij honderden organisaties en de persoonlijke gegevens van miljoenen Nederlanders werden getroffen.
AP-voorzitter Aleid Wolfsen waarschuwt voor het gevaar van ransomware-aanvallen en roept organisaties op om hun digitale beveiliging op orde te brengen. Cybercriminelen richten zich soms op specifieke bedrijven, maar vallen ook regelmatig IT-leveranciers aan die gegevens beheren voor meerdere organisaties. Hierdoor kunnen in één klap tal van bedrijven en individuen worden geraakt.
Uit verder onderzoek van de AP onder 90 getroffen organisaties blijkt dat de meeste de basisbeveiliging niet op orde hadden. Ook worden gevoelige gegevens nog vaak op één server bewaard, wat organisaties kwetsbaar maakt. Daarnaast is er een trend van ‘dubbele afpersing’, waarbij hackers niet alleen gegevens onbereikbaar maken, maar ook dreigen deze te verkopen of publiceren.
De AP adviseert organisaties om maatregelen te nemen tegen ransomware-aanvallen en raadt af om losgeld te betalen aan hackers. Dit houdt namelijk een crimineel verdienmodel in stand en biedt geen garantie dat de versleutelde data daadwerkelijk wordt teruggegeven.
Vertraging implementatie Europese cyberbeveiligingsrichtlijnen
Minister Van Weel van Justitie en Veiligheid heeft de Tweede Kamer in een brief geïnformeerd dat de implementatie van twee belangrijke Europese cyberbeveiligingsrichtlijnen vertraging oploopt. Het gaat om de NIS2-richtlijn die wordt omgezet in de Cyberbeveiligingswet en de CER-richtlijn die wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten.
De deadline van 17 oktober 2024 voor de invoering van deze richtlijnen wordt niet gehaald. De omzetting naar nationale wetgeving blijkt een complex en omvangrijk traject, mede door de grote impact op Nederlandse organisaties. Meer sectoren en organisaties moeten gaan voldoen aan de nieuwe wetgeving. De verwachting is dat de wetsvoorstellen in het eerste kwartaal van 2025 naar de Tweede Kamer worden gestuurd, met als streven inwerkingtreding in het derde kwartaal van 2025.
In de tussenliggende periode gelden er voor organisaties nog geen verplichtingen vanuit de richtlijnen. Wel kunnen organisaties die van rechtswege onder de NIS2-richtlijn vallen al bepaalde rechten ontlenen, zoals het ontvangen van bijstand bij cyberincidenten. Betrokken ministeries benaderen organisaties alvast om maatregelen te treffen ter voorbereiding. Ook blijft de huidige Wet beveiliging netwerk- en informatiesystemen van kracht tot de nieuwe wetgeving ingaat.
Eerste zitting rechtszaak tegen Google wegens privacyschendingen
Op 22 oktober vond in Amsterdam de eerste zitting plaats in de rechtszaak die de Stichting Bescherming Privacybelangen, met steun van de Consumentenbond, heeft aangespannen tegen Google. De stichting beschuldigt het techbedrijf van grootschalige privacyschendingen. Tijdens deze zitting beoordeelde de rechtbank of de stichting de belangen van miljoenen gedupeerde Nederlanders mag behartigen.
Voorzitter Ada van der Veer van de Stichting Bescherming Privacybelangen noemt de zitting een belangrijke mijlpaal op weg naar een fundamentele verandering in de manier waarop Google omgaat met persoonsgegevens van consumenten en het verkrijgen van compensatie. Tegelijkertijd uit ze frustratie over het feit dat Google dagelijks de privacyrechten van miljoenen Nederlanders blijft schenden.
De stichting en de Consumentenbond willen dat Google stopt met het illegaal verzamelen en verwerken van gegevens van Nederlandse consumenten voor eigen commercieel gewin. Ook eisen ze een schadevergoeding voor de langdurige en stelselmatige privacyschendingen. Directeur Sandra Molenaar van de Consumentenbond benadrukt het belang van de zaak, gezien de ruim 150.000 consumenten die zich al hebben aangemeld voor de claim en hun steun hebben uitgesproken.
RTL België moet cookieweigerknop beter zichtbaar maken
RTL België is door de Belgische Gegevensbeschermingsautoriteit (GBA) op de vingers getikt vanwege het onvoldoende duidelijk weergeven van de cookieweigerknop op hun website. Volgens de privacytoezichthouder zit deze knop te verstopt achter de ‘meer weten’ optie in de cookiebanner. Bovendien gebruikt RTL een te contrasterende kleur voor de acceptatieknop, waardoor bezoekers sneller geneigd zijn hierop te klikken.
Om aan de AVG te voldoen, moet RTL de lay-out van de cookiewall aanpassen. De weigerknop moet direct zichtbaar zijn in de eerste laag en de acceptatieknop dient een neutralere kleur te krijgen. Zo wordt het voor gebruikers net zo makkelijk om cookies te weigeren als te accepteren. RTL heeft 45 dagen de tijd gekregen om de benodigde wijzigingen door te voeren, op straffe van een dagelijkse boete van € 20.000. Eerder dit jaar kreeg Mediahuis in België al een vergelijkbare sanctie opgelegd door de GBA.
Minister werkt aan beleid voor zeggenschap burgers over secundair gebruik zorgdata
Minister Agema van Volksgezondheid ontwikkelt momenteel een beleidsstandpunt over de zeggenschap van burgers bij het secundaire gebruik van gezondheidsgegevens, zoals voor onderzoek, beleid en innovatie. Dit gebeurt in het kader van de aanstaande European Health Data Space (EHDS), een EU-initiatief om medische gegevens binnen de Europese Unie in een gemeenschappelijk formaat te delen.
De EHDS maakt onderscheid tussen primair gebruik (voor zorgverlening) en secundair gebruik (voor andere doeleinden) van gezondheidsgegevens. Voor primair gebruik werkt de minister aan een opt-out mogelijkheid. Voor secundair gebruik wordt onderzocht of verschillende vormen van zeggenschap nodig en mogelijk zijn, afhankelijk van het type gegevens en het verwerkingsdoel.
Burgers kunnen straks bezwaar maken tegen het verwerken van hun gegevens voor secundair gebruik, maar dit recht kan worden beperkt. De minister houdt bij het uitwerken van het beleid rekening met privacy, uitvoerbaarheid en het doenvermogen van burgers. De precieze wijze waarop burgers geïnformeerd worden over hun zeggenschap hangt samen met het nog op te stellen beleidsstandpunt. Momenteel is voor gegevensuitwisseling tussen zorgverleners veelal nog toestemming nodig en is er geen sprake van een opt-out. De EHDS gaat hier voor bepaalde gegevenscategorieën verandering in brengen.
EDPB publiceert richtlijnen voor gebruik van ‘gerechtvaardigd belang’ als grondslag voor gegevensverwerking
De European Data Protection Board (EDPB) heeft nieuwe richtlijnen uitgebracht om organisaties te helpen bepalen of zij persoonsgegevens mogen verwerken op basis van een ‘gerechtvaardigd belang’. Dit is een van de zes grondslagen die de Algemene Verordening Gegevensbescherming (AVG) biedt voor het rechtmatig verwerken van persoonsgegevens.
Volgens de richtlijnen moet er aan drie voorwaarden worden voldaan om een beroep te kunnen doen op deze grondslag: er moet daadwerkelijk sprake zijn van een gerechtvaardigd belang, de verwerking moet noodzakelijk zijn om dit belang te behartigen en het belang moet zwaarder wegen dan de belangen van de betrokkenen.
De EDPB geeft in de richtlijnen voorbeelden van situaties waarin wel of niet aan deze voorwaarden wordt voldaan en licht toe waar organisaties rekening mee moeten houden bij het gebruik van deze grondslag, zoals de speciale rechten van betrokkenen.
Tot 20 november 2024 loopt er een publieke consultatie waarin iedereen feedback kan geven op de richtlijnen via de EDPB-website. Op basis hiervan beoordeelt de EDPB of er nog aanpassingen nodig zijn.
Kamervragen over gebruik gezichtsherkenning door politie
De Partij voor de Dieren (PvdD) eist opheldering van minister Van Weel van Justitie en Veiligheid over het gebruik van gezichtsherkenningstechnologie door de politie. Aanleiding is een rapport van Amnesty International waarin wordt gesteld dat de politie bij demonstraties diverse digitale middelen inzet om demonstranten te monitoren, zoals drones, videosurveillancewagens en bodycams. Het is onduidelijk welke middelen precies worden gebruikt en waarvoor de verzamelde beelden dienen, wat volgens Amnesty in strijd is met het recht op privacy.
Hoewel de Nederlandse politie zegt geen real-time gezichtsherkenning te gebruiken, beschikken de camera’s op surveillancevoertuigen wel over deze functionaliteit. Het ministerie onderzoekt momenteel in welke situaties en onder welke voorwaarden real-time gezichtsherkenning toegepast zou kunnen worden.
Kamerlid Teunissen van de PvdD uit zorgen over mogelijke privacyschending en vraagt de minister naar waarborgen tegen misbruik. Ook wil Teunissen weten hoe de minister transparantie rondom het gebruik van deze technologieën gaat vergroten en discriminatie of disproportionele surveillance van bepaalde groepen gaat voorkomen. De PvdD pleit voor onafhankelijk toezicht op het gebruik van gezichtsherkenning door de politie, in plaats van de huidige interne beoordelingscommissie. Minister Van Weel heeft drie weken om te reageren op de vragen van de PvdD.
