Databeveiliging & Dataverlies

In het kader van de General Data Protection Regulation (GDPR) moeten bedrijven als je daarom vraagt alle informatie bezorgen die ze over jou verzameld hebben. Twee onderzoekers van de Universiteit Hasselt gaven zich voor elkaar uit en probeerden zo elkaars persoonlijke gegevens op te vragen. Vijftien van de 55 onderzochte bedrijven lieten zich vrij makkelijk misleiden. "Er zijn dus vijftien bedrijven waar we van eender wie data kunnen gaan stelen", zegt onderzoeker Mariano Di Martino.

In sommige gevallen gaat het zelfs over uiterst gevoelige informatie. "Zo hebben we niet alleen rekeningnummers en financiële transacties ontvangen, maar ook parkeerdata of plekken waar we geweest zijn. Dat is zeer gevoelige informatie, zeker als die in verkeerde handen valt", aldus Di Martino. De 'kwetsbare' bedrijven werden achteraf ingelicht over het experiment.

Bron; DataNews


 

De politie van de Belgische gemeente Zwijndrecht is het slachtoffer geworden van een cyberaanval. Een hacker brak in september in op een server en plaatste de gestolen gegevens online.

De hacker kon onder meer duizenden processen-verbaal, gevoelige documenten en persoonsgegevens inzien. Het zou gaan om een van de grootste overheidslekken ooit in België.

Belgische kranten konden online onder meer aangiftes van huiselijk geweld, pooierschap en prostitutie inkijken. De hacker had toegang tot alle gegevens van 2006 tot en met september 2022.

Alles bij de bron; NU


 

Een medewerker van het Laurentius Ziekenhuis in Roermond heeft zonder toestemming de dossiers van 95 patiënten bekeken. Een andere medewerker zag dat en maakte er melding van.Het gaat om "iemand die werkzaam was binnen het ziekenhuis".

Het Laurentius Ziekenhuis zegt het voorval te betreuren. De kwestie is gemeld bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. De patiënten van wie de dossiers zijn bekeken, zijn door het ziekenhuis per brief op de hoogte gesteld van het lek. Patiënten die geen brief hebben ontvangen, hoeven zich volgens Van den Akker geen zorgen te maken.

Alles bij de bron; NOS


Eind dit jaar moet de oprichting van het Vlaams Datanutsbedrijf (eindelijk) een feit zijn.  Maar bent u nog helemaal mee met de plannen van het Vlaams Datanutsbedrijf? Data News trof transitiemanager Björn De Vidts op de Trefdag van Digitaal Vlaanderen en legde hem 7 concrete vragen voor.

Waarom hebben we dat Vlaams Datanutsbedrijf nodig?

Het Vlaams Datanutsbedrijf wordt een facilitator en accelerator van de Vlaamse datatech. We zijn geen retailer, we zijn geen nutsbedrijf of een andere belanghebbende commerciële speler. We zijn een overheidsbedrijf dat een ecosysteem wil uitbouwen rond het delen van data...

...We willen dat je als burger zelf controle behoudt over jouw data, en transparant en makkelijk kan kiezen welke gegevens je deelt met welke organisatie en voor welke periode. We werken daarom met persoonlijke datakluizen. We werken hiervoor ook samen met kennisinstellingen zoals Universiteit Gent en imec. 

Moest privacy dan niet hét argument worden om burgers te lokken?

Volgens ons is privacy niet zozeer wat de burger eerst verwacht. Privacy is een keuze die je aan de burger zelf moet laten: deel ik mijn data of doe ik dat niet? Van zodra ik data deel verwacht ik wel dat mijn beslissing om ze te delen met een vertrouwde partij ook wordt nageleefd en dat er controle op is. En dat ik de goedkeuring op elk moment kan intrekken, waarbij ik niet door een bos van DPO's op zoek moet naar wie dat kan doen.

Dus die verwerkingsverantwoordelijke en het afdwingen van je rechten, ook dat luik wil het datanutsbedrijf faciliteren. Daar ontlasten we dan de Gegevensbeschermingsautoriteit die nu nog veel van die vragen te verwerken krijgt. 

Alles bij de bron; DataNews


 

De Autoriteit Persoonsgegevens (AP) heeft forse kritiek op het nieuwe cloudbeleid van het kabinet. Volgens de privacytoezichthouder is daarin onvoldoende vastgelegd dat data van Nederlandse burgers moeten voldoen aan de privacyregels. De zorgen zijn geuit in een brief aan Van Huffelen, staatssecretaris voor Digitalisering.

Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij bevorderen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft.  

‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal’, zegt AP-voorzitter Aleid Wolfsen. ‘Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.’

De toezichthouder vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de privacywet Algemene verordening Gegevensbescherming (AVG) niet geldt.

Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de EU, dan moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is volgens de AP niet altijd het geval. 'Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt.’

Tot slot is het beleid volgens AP nu te vrijblijvend. ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan’, waarschuwt Wolfsen.

Alles bij de bron; Computable


 

Gegevens van het Indiase energiebedrijf Tata Power zijn op internet gepubliceerd na een cyberaanval. De verantwoordelijkheid is opgeëist door ransomware-groepering Hive. Onder meer persoonsgegevens zijn uitgelekt.

Tata Power is het grootste energiebedrijf van India met meer dan 12 miljoen klanten. Hive stelt dat de gegevens van Tata Power op 3 oktober zijn versleuteld, terwijl het bedrijf pas twee weken later de aanval naar buiten bracht.

TechCrunch zag de gepubliceerde data in en meldt dat het onder meer gaat om gevoelige gegevens van werknemers. Denk daarbij aan adresgegevens en telefoonnummers, maar ook aan rekeningnummers en gegevens van identiteitskaarten en salarisinformatie. Het gaat daarbij om gegevens van zowel klanten als werknemers van Tata Power.  

Alles bij de bron; Dutch-IT-Channel


 

De gemeente Hof van Twente, waar criminelen eind 2020 dankzij het wachtwoord "Welkom2020" konden binnendringen en ransomware uitrollen, was al veel eerder gewaarschuwd over het wachtwoordbeleid.

De accountant van de gemeente had voordat de aanval plaatsvond meerdere keren gewaarschuwd voor een mogelijke aanval en het gebruikte wachtwoordbeleid. In 2018 geeft de accountant een achttal aandachtspunten, waaronder het informatiebeveiligingsbeleid, toegangs- en autorisatiebeleid en pentesten. In 2019 constateert de accountant dat op een aantal punten vooruitgang is geboekt, maar dat er nog aandacht nodig is voor it-beheer en wachtwoordbeleid.

Signalen over problemen met de informatiebeveiliging kwamen echter niet voldoende binnen bij het management, college en de raad. De kennis over informatiebeveiliging was onvoldoende om de risico's op informatieveiligheid adequaat te duiden en erop door te vragen.

Dat blijkt uit een rapport van de Rekenkamercommissie van de Hof van Twente.

Alles bij de bron; Security


 

De politie heeft een man uit Krimpen aan den IJssel aangehouden. Hij wordt verdacht van het hacken van zorgplatform Carenzorgt.nl. De man zou tienduizenden documenten hebben gestolen, die onder meer medische gegevens bevatten.

Vorige week deed Nedap, de softwareleverancier van Carenzorgt.nl, aangifte van de gegevensdiefstal. "Justitie en politie zijn ook meteen in actie gekomen en hadden de verdachte al snel in het vizier.” aldus Nedap-directeur Ruben Wegman tegen Tubantia.  

De politie heeft zijn huis doorzocht en 'verschillende gegevensdragers' in beslag genomen. Hoeveel documenten er precies zijn gestolen, is nog niet bekend.

Carenzorgt.nl is een platform waarmee mantelzorgers informatie uitwisselen met zorgprofessionals over de behandeling en verzorging van patiënten. Het platform wordt gebruikt door 9000 zorgaanbieders en een half miljoen particulieren.

Alles bij de bron; Tweakers


 

Criminele hackers hebben de bestanden buitgemaakt bij de ransomware-aanval op ID-ware, het bedrijf dat onder andere het toegangssysteem levert aan onder meer de Eerste en Tweede Kamer.

Diezelfde hackers hebben ook de gegevens van 21.000 pashouders van de TU Eindhoven in handen kunnen krijgen, bevestigt de universiteit. De bestanden met daarin de volledige namen, privé-mailadressen, woonadressen, geboorteplaatsen, studentennummers en pasnummers zijn door de hackers gepubliceerd op het dark web.

Naast de data van de TU Eindhoven hebben de hackers ook gegevens van medewerkers van de Hogeschool Utrecht in handen gekregen. Om hoeveel mensen en om welke gegevens het gaat kon de Hogeschool Utrecht nog niet zeggen. 

Het gaat in ieder geval om naam, adresgegevens en personeelsnummers van een nog onbekend aantal medewerkers. Of ook de gegevens van studenten zijn buitgemaakt is onduidelijk. De komende dagen moet verder onderzoek uitwijzen welke en hoeveel gegevens zijn buitgemaakt. 

Alles bij de bron; RTLNieuws


 

Ondanks waarschuwingen van experts staat driekwart van alle Nederlandse studentgegevens opgeslagen bij datacenters van de Amerikaanse techbedrijven Microsoft en Amazon (de 'cloud'). Dat blijkt uit een internationale studie. Het cloudgebruik door universiteiten is omstreden, omdat de privacy van studenten in het geding is. Ook kunnen universiteiten economisch afhankelijk worden van de techbedrijven.

De onderzoekers bekeken het cloudgebruik vanaf 2015. Toen stond zo’n 25% van de studentendata in de cloud, nu is dat 75%. Naast die data, zoals studieprestaties en persoonsgegevens, zijn ook onderzoeksgegevens en digitale lessystemen in de cloud opgeslagen.

De universiteiten, verenigd in Universiteiten van Nederland (UNL), zeggen in een reactie dat ze niet bijhouden hoeveel universiteiten in de cloud zetten. Wel erkennen ze 'het risico van afhankelijkheid van grote techbedrijven'. De Landelijke Studentenvakbond (LSVb) vindt dat studentengegevens niet bij commerciële bedrijven moeten liggen.

Alles bij de bron; FD [inloggen noodzakelijk]


 

Schrijf je in op onze wekelijkse nieuwsbrief!