Databeveiliging & Dataverlies

De privégegevens van miljoenen Braziliaanse coronapatiënten zijn door een fout op internet gelekt. Het ging om het burgerservicenummer, adresgegevens, telefoonnummer en eventuele bestaande aandoeningen, zoals diabetes, hartproblemen, kanker en hiv, van zestien miljoen mensen die vermoedelijk of bevestigd met corona besmet zijn geraakt. In de dataset werden de gegevens van de Braziliaanse president Jair Bolsonaro en verschillende ministers aangetroffen.

Het datalek ontstond door een medewerker van een ziekenhuis die een spreadsheet met gebruikersnamen en wachtwoorden op zijn GitHub-pagina had geplaatst. Met de inloggegevens kon er toegang tot twee overheidssystemen worden verkregen met daarin de gegevens van de vermoedelijke en bevestigde coronapatiënten.

Na te zijn ingelicht werden de inloggegevens van de GitHub-pagina verwijderd en in de systemen aangepast. Volgens het ziekenhuis gaat het om een menselijke fout en wordt er een onderzoek naar het datalek ingesteld.

Alles bij de bron; Security


 

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder is gewezen op een probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen.

Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. 

Alles bij de bron; Security


 

Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Alles bij de bron; Security


 

Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.

Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.

Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen. 

Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen. 

Alles bij de bron; Computable


Met een gemiddelde van 1,45 miljoen euro betalen Nederlandse bedrijven de hoogste dwangsom voor een ransomware-aanval wereldwijd. Van de Nederlandse bedrijven zegt 44 procent het afgelopen jaar slachtoffer te zijn geweest van ransomware. Wereldwijd ligt dit percentage op 57 procent. Van de Nederlandse bedrijven die slachtoffer zijn geweest van ransomware, zegt slechts een vijfde daadwerkelijk een dwangsom betaald te hebben.

Dit blijkt uit het jaarlijkse Global Security Attitude onderzoek uitgevoerd onder 2200 IT-beslissers en cybersecurity professionals wereldwijd. 

Alles bij de bron; DutchIT


 

De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.

De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde...

...Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten. 

De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

Bij twijfel: houd data in EU 

Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.

Zie verder: 

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

Alles bij de bron; AutoriteitPersoonsgegevens


 

Meer dan tien miljoen bestanden met details over hotelboekingen waren inzichtelijk op een verkeerd geconfigureerde AWS S3-bucket. De data werd beheerd door Prestige Software, een Spaans bedrijf dat samenwerkt met onder andere Agoda, Booking.com en Expedia...

...Volgens de onderzoekers gaat het om 24,4GB aan logbestanden en bevat de verzameling gegevens van hotelboekingen wereldwijd. Zowel recente boekingen als details over oudere boekingen, tot 2013, werden aangetroffen.

De persoonsgegevens werden zonder enige bescherming opgeslagen. Het gaat om creditcardgegevens, naam- en adresgegevens, paspoortnummers en e-mailadressen van hotelbezoekers. Ook de details van hotelreserveringen, zoals de kosten, het aantal nachten en aanvullende verzoeken staan vermeld.

Alles bij de bron; Tweakers


 

Cybersecurity-onderzoekers van de Schotse Abertay University zijn erin geslaagd meer dan 75.000 gewiste bestanden te halen van een honderdtal usb-sticks die ze kochten via tweedehands- en zoekertjessites. Onder de bestanden: belastingaangiften, contracten en bankdocumenten.

Op het eerste zicht leken op 98 van de honderd sticks alle data verdwenen te zijn, maar met enkele vrij verkrijgbare tools konden de onderzoekers de gegevens weer boven water halen...

...De manier waarop computers bestanden van sticks verwijderen, houdt niet in dat de data ook effectief weg is. Veel mensen beseffen dat niet. ‘Het bestand wordt uit een index verwijderd, zodat het ‘aan het zicht wordt onttrokken’', legt professor Renaud uit. ‘Het is er echter nog steeds en als je weet hoe, kun je het gemakkelijk terugvinden met behulp van forensische hulpmiddelen.’

Er bestaat anderzijds ook software die usb-drives permanent kan wissen. ‘Als je een stick gaat verkopen, raden we je ten zeerste aan dat te gebruiken’, besluit Renaud.

Alles bij de bron; Computable


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha