Högprofilerade Twitter-konton ”hackade”

Tidigare i juli blev flera högprofilerade Twitter-konton ”hackade”, bland annat Joe Biden, Barack Obama, Elon Musk, Apple och Bill Gates. Detta är en av de mest profilerade säkerhetsöverträdelserna som gjorts under de senaste åren och till en början tordes detta vara ett professionellt bitcoin-bedrägeri. Nu visar det sig dock att personerna som ligger bakom incidenten är tre män i åldrarna 17, 19 och 22.

Tillgång till internt Twitter-system

De tre anklagade männen har genom en så kallad ”spear-phishing” fått tillgång till ett internt system där de stulit kontouppgifter till ett flertal högprofilerade Twitter-konton. Genom de högprofilerade Twitter-kontona twittrade ”hackarna” ett attraktivt erbjudande om att få $ 2000 för varje $ 1000 som sattes in på ett anonymt bitcoin-konto.

Oro över behörighetsnivå

Attacken har väckt stor oro över den behörighetsnivå som Twitter-anställda har till användarkonton. Enligt uppgifter riktade ”hackarna” sig till 130 konton och de lyckades twittra från 45 av dessa. De har även fått tillgång till inkorgar på 36 konton samt laddat ner Twitter-uppgifter från sju konton.

Läs mer på CBC, The New York Times, BBC och The Verge.  

Cloud-leverantören Blackbaud “hackad”

Den internationella Cloud-leverantören Blackbaud har blivit “hackad” och ett stort antal användare av deras tjänster har drabbats. ICO berättar i en intervju med brittiska BBC att 125 organisationer har i dagsläget drabbats av incidenten. Bland de som blivit drabbade är ett dussintal brittiska universitet och utöver detta har även skolor, museer och kyrkor internationellt drabbats.  

Betalt lösensumma

Incidenten blev känd för Blackbaud redan i maj och meddelar att de betalat hackarna en “lösensumma” för att de ska kryptera och förstöra informationen de kommit över. Först nu har Blackbaud underrättat sina kunder om incidenten.

Läs mer här.

Undantag att ansöka om tillstånd för kamerabevakning i kollektivtrafiken

From 1 augusti kan aktörer inom kollektivtrafiken i vissa fall slippa ansöka om tillstånd för kamerabevakning, skriver Datainspektionen på deras hemsida. Det gäller bland annat kamerabevakning i brottsförebyggande syfte och för att upptäcka störningar av allmän ordning och säkerhet eller olyckor. 

Inte automatiskt lagligt

Viktigt är att komma ihåg att undantaget inte innebär att det automatiskt blir lagligt med kamerabevakning utan att det i regel krävs att den bevakade platsen ska vara brottsutsatt. Det behövs även alltid göras en bedömning av bevakningsbehovet i varje enskilt fall, samt vägas mot integritetsintresset på den aktuella platsen.

Behovet tyngre än intrånget

Behovet av kamerabevakning behöver väga tyngre än intrånget på den enskilda människan som rör sig i det bevakade området. På det bevakade området måste det även tydligt framkomma att området är kamerabevakat.

Läs mer här.

ICO lanserar riktlinjer gällande AI och dataskydd

Idag har ICO lanserat riktlinjer gällande AI och dataskydd i syfte att möjliggöra god dataskyddspraxis inom AI. Simon McDougall, förvaltningschef för teknologi, policy och innovation på ICO skriver i ett blogginlägg om vikten med riktlinjer gällande AI och dataskydd. 

Utmaningar med AI

AI har blivit omfattande och används inom såväl e-handel, bank och sjukvård och i samband med den senaste pandemin har innovationen av teknik och data för AI drivits på. Det finns dock konstanta utmaningar för de organisationer som använder sig av tekniken och några exempel på utmaningar som McDougall beskriver är; Vilka etiska problem skapar AI? Hur kan vi vara säkra på att AI-användningen är laglig? Är AI rätt teknik för problemet?

AI erbjuder möjligheter som kan ge betydande förbättringar för samhället men att låta dessa komplexa system hantera personuppgifter är inte helt riskfritt. Vidare förklarar McDougall att det kan vara utmanande att förstå hur man ska bedöma efterlevnaden av dataskyddsprinciper i samband med AI. Han förklarar att det kan vara svårt för teknikspecialister och efterlevnadsexperter att hitta kompatibla och genomförbara AI-system. 

Utveckling av riktlinjer

Med detta som bakgrund har ICO idag lanserat riktlinjer som en del av deras åtagande att möjliggöra god dataskyddspraxis inom AI. Riktlinjerna innehåller rekommendationer om bästa praxis som är användbara för organisationer i arbetet med AI-teknik. 

Eftersom AI är under konstant utveckling kommer ICO:s arbete med riktlinjerna att fortskrida för att hålla jämna steg med den snabba utvecklingen. 

Läs mer här.

Danskt hotell ålagda böter om 1 100 000 DKK

Arp-Hansen Hotel Group A/S har blivit ålagda böter om 1 100 000 danska kronor. Under ett inspektionsbesök på hotell Arp-Hansen Group A/S i Danmark uppmärksammade det danska Datatilsynet att hotellets bokningssystem innehöll personuppgifter som inte längre var nödvändiga att lagras. 

Personuppgifter borde raderats

Under revisionen upptäckte Datatilsynet att det bokningssystem som hotellet använder innehöll en hel del personuppgifter som borde tagits bort i enlighet med hotellets egna fastställda tidsgränser för borttagning. Det konstaterades även att systemet innehöll så kallade kundprofiler som också borde ha raderats för flera år sedan. Datatilsynets uppfattning är att cirka 500 000 kundprofiler ska ha tagits bort vid inspektionen. 

Polisanmälan och böter

Datatilsynet väljer att anmäla incidenten till polisen samt utfärdar böter om 1100 000 danska kronor då Arp-Hansen ej uppfyllt kraven för radering av personuppgifter som inte längre är nödvändiga att lagras.

Läs mer här.

Öppet brev

Ett flertal dataskyddsmyndigheter världen över har skickat ett öppet brev till företag som tillhandahåller videokonferensverktyg i syfte att upplysa företagen om personligt dataskydd. 

Integritetsfrågor

Som ett resultat av COVID-19-pandemin har det blivit allt vanligare med videokonferenser i både sociala och affärsmässiga sammanhang men även inom sjukvården och utbildningssektorn världen över. Denna ökning av videokonferenser försvårar hanteringen av personlig information, samt skapar fler risker i hanteringsprocessen. 

Brevet

Syftet med brevet är bland annat att redogöra för myndigheternas farhågor kring den ökade användningen av videokonferenser samt att klargöra för vilka förväntningar myndigheterna har på företagen som tillhandahåller dessa verktyg. Det handlar bland annat om säkerhet, Privacy-by-Design samt slutanvändarkontroll. 

Myndigheternas har dock en förståelse för att dessa företag erbjuder en värdefull tjänst som gör att människor kan hålla kontakten oavsett var i världen vi befinner oss, något som under nuvarande COVID-19-pandemi är särskilt viktigt. Men de menar att detta inte får komma på bekostnad av människors dataskydd och integritetsrättigheter. 

Svar från företagen brevet skickats till önskar myndigheterna att emotta senast den 30 september 2020. 

Ta del av hela brevet här.

Informationsmaterial inför brexit

Europeiska kommissionen har publicerat informationsmaterial för att hjälpa medborgare, nationella myndigheter och företag att förbereda sig för de viktigaste förändringarna som brexit för med sig under övergångsperioden. Det handlar om huruvida dataskyddets nivå är tillräckligt i Storbritannien, där man efter övergångsperioden börjar tillämpa dataskyddsbestämmelser som gäller tredjeländer. 

Datsskyddsförordningens om tredjeland

I sitt informationsmaterial lyfter EU-kommissionen fram de viktigaste förändringarna som brexit för med sig och som genomförs efter övergångsperioden oberoende av resultatet av förhandlingarna om den kommande relationen mellan EU och Storbritannien. Detta för att främja beredskapen för de berörda under övergångsperioden före utgången 2020. När utträdet träder i kraft börjar dataskyddsförordningens bestämmelser om tredjeland tillämpas när det gäller överföringen av personuppgifter.

Bedömning av dataskydd har inletts

EU-kommissionen har inlett en bedömning av Storbritanniens nivå på dataskyddet, utifrån vilken de kommer att fatta beslut huruvida nivån är tillräckligt för överföring av personuppgifter. Kommissionen strävar efter att ha bedömningen klar och presentera den före utgången 2020. Om bedömningen visar att nivån på dataskyddet är tillräckligt skulle det i fortsättningen inte krävas andra överföringsgrunder utöver kommissionens beslut för överföring av personuppgifter. 

Ta del av materialet här.

Matleverantören Foodora blivit hackat

Det har visat sig att den populära matleverantören Foodoras databas blivit hackat. I databasen fanns 25 000 svenska kunder och sammanlagt rör det sig om 480 000 personer i bland annat länder som Tyskland och Frankrike.

Säkerställa användningen av personuppgifter i samband med test

Klassificering av personuppgifter samt identifiering av rätta syften och användningsområden är ett viktigt steg i skyddet av information. Varje organisation behöver säkerställa att uppgifterna endast används för de syften som uppgivits samt skyddas i tillräcklig mån. Ofta innefattar det inte att använda en användardatabas för testning, men om så skulle ske kräver det lika hög säkerhet som i produktionsmiljön.

Svenska användare ska vara informerade och incidenten har anmälts till tyska myndigheter eftersom Foodora ägs av det börsnoterade tyska bolaget Delivery Hero.

Läs mer här.

Telekomföretag ålagd böter om € 16,7 miljoner

Den italienska dataskyddsmyndigheten meddelar i ett pressmeddelande att de tagit beslut om att bötfälla telekomföretaget Wind Tre S.p.A. om 16,7 miljoner euro. Wind Tre S.p.A. har använt kunddata utan samtycke i direkt marknadsföringssyfte. 

Hundratals kunder drabbade

Det har framkommit att hundratals kunder har fått oönskad kommunikation skickat till sig via bland annat SMS, e-post och telefonsamtal. Det handlar även om att enskilda kunder inte haft möjlighet att utöva sin rätt att återkalla samtycke eller tacka nej till marknadsföringsändamål. Detta då den information om integritetspolicy hos företaget ej var fullständig. Det handlar även om att kunddata har publicerats på offentliga telefonlistor. 

Tvingats till samtycke

Vidare fann den italienska dataskyddsmyndigheten att telekomföretagets applikationer “MyWind” och “My3” var utformat så att användaren tvingats ge sitt samtycke för olika ändamål. Även brister i telekomföretagets förvaltning av tredjepartspartners framkom. Den italienska dataskyddsmyndigheten bötfäller således telekomföretaget för brott mot GDPR. 

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på italienska.

Brister i Fynbus I/S informationsskyldighet

Det danska Datatilsynet uttrycker stark kritik mot hur bussbolaget Fynbus I/S hanterar sina resenärers information. Detta då de anser att bussbolaget inte uppfyller skyldigheten att tillhandahålla information om insamling av data gällande resenärerna.

Avsaknad information om datainsamling

Hösten 2019 inledde det danska Datatilsynet an granskning av bussbolaget Fynbus I/S. Granskningens handlade om att se över om bussbolagets uppfyller den informationsskyldighet som Fynbus I/S har i samband med insamling av data så som resenärernas resehistorik och personuppgifter

Det danska Datatilsynet anser att Fynbus I/S inte uppfyller informationsskyldigheten i tre av fem app- eller webbtjänster. Detta då information om datainsamlingen inte lämnas till resenären i appen- eller webbplatsen.

Stark kritik mot integritetspolicy

Kritik riktas främst mot hur datainsamlingen går till då bussbolaget inte informerar kunden att insamlingen sker i det skede av processen som insamlingen sker. Datatilsynet är även kritiska mot att bussbolagets integritetspolicy för en av tjänsterna är extremt bristfällig. 

Mot denna bakgrund har Datatilsynet funnit anledning att uttrycka allvarlig kritik mot att bussbolaget inte uppfyller den informationssäkerhet de är skyldiga till.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från mer än 700 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart