Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

03/02/2022

Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

Read the original article here
Cyber Defense

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie.

Het TCF is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). Sinds 2019 heeft de GBA meerdere klachten ontvangen die gericht waren tegen IAB Europe en erover gingen of het TCF wel aan de AVG voldoet.

Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon.

Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers.

Het TCF vergemakkelijkt, via het CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.

Het CMP plaatst ook een cookie op het apparaat van de gebruiker. In combinatie kunnen de TC string en het cookie worden gekoppeld aan het ip-adres van de gebruiker, waardoor de gebruiker identificeerbaar wordt. IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelt dat IAB Europe op verschillende punten de AVG heeft geschonden.

Zo heeft IAB Europe geen rechtsgrond voor de verwerking van de TC string, is de informatie die via de CMP-interface aan gebruikers wordt verstrek te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen, is de overeenstemming van het TCF met de AVG niet voldoende gewaarborgd of aangetoond en voldoet IAB Europe niet aan andere verplichtingen die gelden voor partijen die op grote schaal persoonsgegevens verwerken.

Volgens de GBA kan het TCF ervoor zorgen dat een grote groep burgers de controle over hun persoonlijke informatie verliest. De Belgische privacytoezichthouder heeft daarom een boete van 250.000 euro opgelegd. Daarnaast heeft IAB Europe twee maanden de tijd gekregen om een actieplan voor te leggen om corrigerende maatregelen door te voeren.

Controle over persoonsgegevens terugkrijgen

"De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen", zegt Hielke Hijmans van de GBA.

Hijmans voegt toe dat de beslissing van de GBA alleen betrekking heeft op het TCF en niet op het hele Real Time Bidding-systeem, maar die grote gevolgen zal hebben voor de bescherming van persoonsgegevens van internetgebruikers. "De orde in het TCF-systeem moet worden hersteld, zodat gebruikers weer controle over hun gegevens krijgen", aldus de voorzitter van de Geschillenkamer van de GBA.

Verwijderen

Het Irish Council for Civil Liberties meldt dat het TCF op tachtig procent van de Europese websites wordt gebruikt. Als gevolg van de uitspraak moet alle data die via het TCF is verzameld worden verwijderd door de meer dan duizend bedrijven die van het framework gebruikmaken. Het gaat onder andere om de advertentietakken van Amazon, Google en Microsoft, aldus de Ierse burgerrechtenbeweging.

Reactie IAB Europe

IAB Europe laat in een reactie weten dat het zich niet kan vinden in het oordeel van de GBA dat het in de context van het TCF een verwerkingsverantwoordelijke is. "We vinden deze constatering juridisch onjuist en zal grote onbedoelde negatieve gevolgen hebben die verder dan de digitale advertentie-industrie gaan. We overwegen alle mogelijkheden met betrekking tot het instellen van beroep."

Reactie Bits of Freedom

"Dit is een grote winst. Niet voor ons, maar voor alle internetgebruikers in heel Europa" zegt Evelyn Austin, directeur van burgerrechtenbeweging Bits of Freedom. "Iedereen werd gek van al die pop-ups die je bij een bezoek aan een website te zien kreeg. Nu heeft de toezichthouder bepaald dat dit illegaal is, en zullen advertentiebedrijven naar een meer privacyvriendelijke manier van opereren moeten gaan zoeken. Daar zijn we ontzettend blij mee."

Volgens Bits of Freedom maken bijna alle websites in Europa gebruik van het advertentiesysteem. "Dus deze uitspraak betekent dat advertentiepartijen zoals Google en Amazon, op zoek moeten naar een nieuwe manier om advertenties te plaatsen."

Weet u precies wat er via uw website op de computer van uw bezoeker wordt geplaatst? Of wat er via uw website naar derde partijen gecommuniceerd bent? Weet u zeker dat u binnen de regels van de AVG opereerd? De verantwoordelijkheid kunt u niet zomaar bij de webbouwer of hoster leggen, immers de mensen bezoeken uw site. Met Reflectiz kunt u precies zien welke data en cookies waar vandaan komen en waar dit eindigd, u kunt gericht vragen stellen aan uw webbouwer en compliance aantonen wanneer erom gevraagd wordt.

Naar de Reflectiz pagina
02/02/2022

Duitse tankopslaggroep Oiltanking platgelegd door cyberaanval

Read the original article here
Cyber Defense

De Duitse tankopslaggroep Oiltanking is platgelegd door een cyberaanval, waardoor alle laad- en lossystemen van het bedrijf buiten gebruik zijn. Hierdoor is het niet mogelijk om tankwagens te laden en benzine aan tankstations te leveren. Oiltanking is één van de grootste onafhankelijke aanbieders van tankruimte voor olie, chemicaliën en gassen wereldwijd.

In 2019 bedroeg de totale overslag zo'n 155 miljoen ton. De aanval heeft niet alleen gevolgen voor tankstations in Duitsland, maar ook voor bedrijven zoals Shell. In Duitsland exploiteert Oiltanking in totaal dertien tankparken. Voor zover bekend is er geen risico op een volledige uitval van de tankbevoorrading in Duitsland. Shell stelt dat de gevolgen worden opgevangen door gebruik te maken van alternatieve oplaadpunten.

De aanval, die dit weekend werd ontdekt, heeft ook it-systemen van oliehandelaar Mabanaft geraakt. De volledige omvang van het incident is nog onduidelijk, zo melden Handelsblatt en WirtschaftsWoche. Mabanaft behoort net als Oiltanking tot de Marquard & Bahls Group, die in 2020 een omzet van ongeveer 9,2 miljard euro had. Verdere details over de aanval zijn niet openbaar gemaakt, maar sommige experts vermoeden dat het om een ransomware-aanval gaat.

Test zelf zo vaak als u wilt of uw systemen gevoelig zijn voor cyberaanvallen met Cymulate

Naar de cymulate pages
31/01/2022

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

Read the original article here
Cyber Defense

Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.

Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen. Eén van de bezoekers stapte hierop naar de rechter.

Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. De rechter merkte op dat het ip-adres van de klager herhaaldelijk naar Google was gestuurd. Een bedrijf dat bekendstaat om het verzamelen van data over internetgebruikers.

Vanwege het "individuele ongemak" dat dit bij de klager heeft veroorzaakt vond de rechter een schadevergoeding van honderd euro gerechtvaardigd. Daarnaast mag de website in kwestie bij het gebruik van Google Fonts geen ip-adressen van bezoekers meer aan Google doorgeven en moet het bezoekers informeren over de persoonlijke data die van hen wordt opgeslagen en verwerkt.

Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen. Mocht de uitspraak van de Duitse rechtbank standhouden, dan denkt het advocatenkantoor dat dit een cart blanche zal zijn voor het eisen van schadeclaims. "Het Duitstalige deel van internet zit vol met websites die zonder toestemmingsbanner gebruikmaken van Amerikaanse webdiensten."

"We adviseren onze cliënten al jaren om geen Google Fonts te gebruiken of de variant te kiezen waarbij er geen ip-data naar Google wordt verstuurd en fonts lokaal op de eigen server zijn opgeslagen", stelt advocatenkantoor Beckmann en Norda.

Weet u u precies wat alle scripts en applicaties op uw website doen? Met reflectiz brengt u het gemakkelijk in kaart en wordt u gewaarschuwd wanneer er wijzigingen zijn. 

Naar de Reflectiz oplossing
Load more