45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Miljoenen telefoonnummers van Instagram-influencers openbaar

De persoonlijke informatie, waaronder telefoonnummers en e-mailadressen, van miljoenen Instagram-influencers heeft voor onbekende tijd online gestaan, meldt TechCrunch maandag. De gegevens waren gekoppeld aan openbare profielinformatie.

De gegevens waren inzichtelijk via een server die niet was afgeschermd met een wachtwoord. Volgens de Amerikaanse nieuwssite waren daar de gegevens van in ieder geval 49 miljoen accounts te vinden.

Naast influencers, personen met een groot online bereik die via sociale media marketing bedrijven, bevatte de database ook gegevens van accounts van beroemdheden en bedrijven. Wie precies slachtoffer is geworden van de dataverzameling, is uit de berichtgeving niet duidelijk.

Alles bij de bron; NU


 

VS klaagt man aan voor diefstal gegevens 78 miljoen mensen

De Amerikaanse autoriteiten hebben een 32-jarige man aangeklaagd voor het stelen van de gegevens van 78 miljoen mensen bij zorgverzekeraar Anthem, alsmede inbraken bij verschillende andere bedrijven. De diefstal bij Anthem was mogelijk nadat een medewerker een e-mail met een besmette bijlage opende.

Via de besmette computer van de werknemer konden de aanvallers minstens 90 andere systemen overnemen, waaronder het systeem waar Anthem alle klantgegevens bewaart. Bij de aanval werden geboortedata, medische identiteitsnummers, social security nummers, adresgegevens, e-mailadressen en werkgegevens, waaronder salarisinformatie, gestolen. Medische informatie en creditcardgegevens zouden niet zijn gecompromitteerd. Anthem besloot het datalek voor 260 miljoen dollar te schikken.

Alles bij de bron; Security


 

Datalek toont UWV’s naïviteit rondom privacy

Via een account van een UWV-werkgever zijn tussen 16 en 30 april ruim 117.000 unieke cv’s gedownload. Volgens Computable-expert René Veldwijk toont het incident aan dat UWV veel te naïef is rondom de online-verwerking van persoonsgegevens. ‘Anno 2019 zet je niet op deze manier persoonsgegevens online om vraag en aanbod bij elkaar te krijgen.’

In een artikel in Trouw meldt hij dat de gemiddelde datingsite persoonsgegevens beter afschermt dan Werk.nl van UWV. Hij doelt op de uitgebreide persoonsgegevens die sollicitanten beschikbaar stellen, zoals naam, telefoonnummer en huisnummer. 

Veldwijk ziet dat meer partijen bezig zijn om met eigen ai-engines grote databestanden leeg te trekken en data te analyseren. Bijvoorbeeld omdat de eigen software voor matchmaking van UWV niet goed zou werken. Die ai-engines zijn overigens vaak in strijd met de wet, omdat gebruikers geen nadrukkelijke toestemming hebben gegeven om hun data af te staan met dat doel.

Alles bij de bron; Computable


 

117.000 cv's gestolen via hack bij account UWV

De cv's van 117.000 mensen zijn onrechtmatig gedownload nadat een onbekend persoon toegang heeft gekregen tot een werkgeversaccount bij het UWV. Dat meldt de uitkeringsorganisatie vrijdag op zijn website.

Via het account hadden onbevoegde personen toegang tot cv's van personen die ingeschreven staan bij werk.nl. Het account is na de ontdekking van het lek meteen geblokkeerd.

De personen van wie een cv is gedownload, worden door het UWV ingelicht over het lek en gewaarschuwd voor spam en phishingberichten.

Alles bij de bron; NU


 

Persoonlijke informatie niet veilig bij sites over geloof, ziekte en geaardheid

Onderzoekers van de Consumentenbond zochten in maart en april op onderwerpen binnen de categorieën geloof, jeugd, medisch en geaardheid. Via zoekvragen over onder meer depressie, verslaving, seksuele geaardheid en kanker kwamen zij op 106 websites.

Bijna de helft (48%) van die sites plaatste bij bezoek direct, dus zonder toestemming van de bezoeker, een of meer advertentiecookies, bijna altijd van Google. Websites als CIP.nl, Refoweb.nl en scholieren.com plaatsten er zelfs tientallen. Ouders.nl maakte het helemaal bont en plaatste maar liefst 37 cookies.

Ook een flink aantal instellingen voor geestelijke gezondheidszorg viel op. Onder andere ggzdrenthe.nl, connection-sggz.nl, parnassiagroep.nl en lentis.nl volgden ongevraagd het surfgedrag van hun bezoekers en speelden deze informatie door naar Google. 

Olof King, directeur belangenbehartiging Consumentenbond: ‘De privacywet AVG is nu een jaar van kracht en het is zorgwekkend hoe slecht de wet wordt nageleefd. Google verrijkt jouw profiel met deze informatie en het is volstrekt onduidelijk wat er daarna mee gebeurt. Dat juist dit soort sites – met potentieel zeer gevoelige informatie – zo slordig met je gegevens omspringen, is dan ook ronduit schokkend. De Autoriteit Persoonsgegevens moet ingrijpen.'

In een reactie laat de Autoriteit Persoonsgegevens weten op korte termijn zelf een onderzoek te starten naar de naleving van privacyregels op websites.

Alles bij de bron; ConsBond


 

Zorginstellingen moeten hun privacyzaken en informatiebeveiliging beter op orde krijgen

Vorige week kwam in het nieuws dat Jeugdzorg Utrecht zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken.

Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3.200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD).

Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren. Dat dat nog moeilijk genoeg is, zie ik dagelijks bij zorginstellingen. Je kunt zo’n centraal EPD/ECD beveiligen tegen nieuwsgierigen of mensen met kwade bedoelingen van binnen of buiten de organisatie. Je kunt zorgen dat je bewaartermijnen handhaaft. Dat er een reservesysteem beschikbaar is op het moment dat het primaire systeem uitvalt. Je kunt erop toezien dat je vastlegt wat nodig en toegestaan is - en niet meer dan dat.

Vooral kun je zorgen dat zorgverleners de juiste, volledige en actuele informatie op het juiste moment op de juiste plaats beschikbaar hebben. Want laten we vooral niet vergeten dat informatie onmisbaar is voor het verlenen van goede zorg. 

Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?

...Het gaat om de bestuursagenda. En dus beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is? Maar hoe zit het met de privacy en informatiebeveiliging?

Alles bij de bron; Volkskrant


 

Antwoorden op Kamervragen over het datalek bij Jeugdzorg waardoor dossiers van duizenden kwetsbare kinderen zijn gelekt

Vraag 1; Kunt u bevestigen dat dat door een fout van Bureau Jeugdzorg Utrecht in totaal 3278 dossiers van 2702 kinderen zijn gelekt?

Datalekken zoals deze laten zien dat aandacht voor informatieveiligheid in de zorgsector steeds belangrijker wordt. Het datalek bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig Midden-Nederland in beheer. Naar nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt...

Vraag 3; Is het gebruikelijk dat binnen de jeugdzorg dossiers van patiënten onbeveiligd en geautomatiseerd doorgestuurd worden naar e-mailadressen van werknemers? 

Vraag 4; Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?

Antwoord op vraag 3 en 4; Ik deel de mening dat alle zorginstellingen passende maatregelen moeten nemen om patiëntdossiers en communicatie over patiënten maximaal te beveiligen. Ze moeten zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan om datalekken zoals deze te voorkomen maar ook om weerbaar te zijn tegen bijvoorbeeld cyberaanvallen. Daarbij hoort onder anderen het gebruik van beveiligde e-mail voor het uitwisselen van persoonsgegevens. Alle zorg- en jeugdhulpinstellingen zouden daarom gebruik moeten maken van beveiligde e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt...

Vraag 7; Wat is uw reactie op de bewering van de klokkenluiders dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen?

Antwoord op vraag 7; Het Computer Emergency Response Team voor de Zorg (Z-CERT) meldt mij dat er inderdaad domeinnamen circuleren die eerder door zorginstellingen zijn gebruikt en daarna zijn vrijgegeven. Op mijn verzoek heeft Z-CERT deze domeinnamen zelf geregistreerd zodat deze niet meer voor anderen beschikbaar zijn.

Alles bij de bron; RijksOverheid