Databeveiliging & Dataverlies

Privacytoezichthouder Autoriteit Persoonsgegevens blijkt zelf ook last van datalekken te hebben. De AP rapporteert in 2019 72 beveiligingsincidenten, waarvan er 39 gekwalificeerd worden als datalekken. Drie daarvan vielen onder de meldplicht.

Een woordvoerder vertelt waar de drie gemelde datalekken betrekking op hebben. Het ging om verkeerde adressering van e-mails en een brief. In één geval ging het om een persbericht dat niet BCC, maar CC is verstuurd, waardoor alle geadresseerden ook de naam van de andere geadresseerden kunnen lezen. Dit valt in de categorie menselijke fouten, en niet systeemfouten, zegt de woordvoerder.

Volgens voorzitter Aleid Wolfsen maken burgers zich inmiddels echt zorgen over hun privacy. Dat blijkt uit de 28.000 klachten die de AP vorig jaar heeft ontvangen. Wolfsen: 'De tijd van “ik heb niets te verbergen” is voorbij.' Uit onderzoek van de AP blijkt dat 94% van de Nederlanders zich zorgen maakt over privacy.

Alles bij de bron; FD


 

Het is alweer de vierde beveiligde berichtendienst die door de politie wordt blootgelegd. Eerder ging het om Ennetcom, IronChat en PGP-Safe. Deze diensten werken met behulp van ‘Pretty good Privacy’, waarbij berichtenverkeer via speciale smartphones wordt versleuteld. Criminelen blijken hier ten onrechte het volste vertrouwen in te hebben.

Het lijkt erop dat de politie intussen volop aan de slag is gegaan met de op EncroChat aangetroffen informatie, want de afgelopen weken zijn er enorme hoeveelheden drugs en contant geld in beslag genomen bij invallen. Ook werd een fabriek van Crystal Meth opgerold. Er was ook haast bij geboden, want EncroChat ontdekte de hack op 13 juni en stuurde direct een waarschuwing naar alle gebruikers, met het advies berichten te wissen en de PGP-smartphones niet meer te gebruiken. 

Het onderzoek naar EncroChat beperkt zich niet tot Nederland. EuroJust en EuroPol maken later als internationale opsporingsorganisaties de resultaten bekend.

Alles bij de bron; BeveilNieuws


 

Door een fout in de website van Marktplaats waren gebruikers afgelopen weekend per ongeluk ingelogd op de profielen van anderen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Dat bevestigt Marktplaats, dat de afgelopen dagen verschillende meldingen ontving van mensen die zeiden opeens toegang te hebben tot het Marktplaats-account van een onbekende.

Het probleem is ontstaan door een update aan de website die Marktplaats afgelopen weekend heeft doorgevoerd. Toen is iets misgegaan waardoor een aantal gebruikers toegang had tot het account van iemand anders. Daar hadden ze naast de naam, het e-mailadres, de postcode en het telefoonnummer ook toegang tot advertenties, zoekopdrachten, chatgesprekken en betalingen. 

Alles bij de bron; RTL


 

Met een ernstig datalek op zijn website heeft het Centraal Orgaan opvang Asielzoekers (COA) honderden slachtoffers van mensenhandel in gevaar gebracht. Het COA plaatste vorige week tweemaal een document met meldingen van mensenhandel op en rondom asielzoekerscentra in heel Nederland online. In de documenten stond veel privacygevoelige informatie, zoals namen, geboortedata, telefoonnummers en kentekennummers. Opsporingsbronnen zeggen tegen VPRO-radioprogramma Argos en NRC dat daardoor mogelijk strafrechtelijke onderzoeken verstoord kunnen worden.

Een woordvoerder van het COA zegt dat het lek „nooit had mogen gebeuren”. Wat precies misging is het COA een raadsel. Het heeft het incident vrijdag gemeld bij de Autoriteit Persoonsgegevens – dat is wettelijk verplicht. De privacytoezichthouder moet de zaak onderzoeken en beoordelen of verdere maatregelen volgen.

Alles bij de bron; NRC


 

De Belgische autoriteiten zijn gestopt met het onderzoek naar de daders die begin 2019 op de website van de Oost-Vlaamse politieschool wisten in te breken en daar de persoonlijke gegevens van Belgische politieagenten en rechters wisten te stelen. Het lukt het Belgische parket niet om de daders te identificeren.

Bij de inbraak werden namen, adresgegevens, telefoonnummers en in aantal gevallen ook bankrekeningnummers van vijftig rechters, driehonderd politieagenten en honderdvijftig leerling-agenten buitgemaakt.

In de maanden na de inbraak op de website ontvingen zo'n vijftig van de personen een phishing-sms. Hoe de aanvallers op de website konden inbreken is onbekend. De ­politieschool laat de website door een externe firma beheren. Inmiddels zijn er maatregelen genomen om de website beter te beschermen.

Alles bij de bron; Security


 

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen.

Alles bij de bron; Security


 

Op internet zijn gigabytes aan gestolen data van meer dan tweehonderd Amerikaanse politiekorpsen verschenen. Het gaat om honderdduizenden documenten met namen van agenten, e-mailadressen, e-mails, telefoonnummers, afbeeldingen, rapporten, handleidingen, videobestanden, spreadsheets en afbeeldingen van verdachten.

De data werd gestolen bij een hostingprovider die verschillende portalen host waar opsporingsdiensten data uitwisselen. Vervolgens werden de gegevens gepubliceerd door "Distributed Denial of Secrets", dat door sommigen een "alternatief voor WikiLeak" wordt genoemd.

De National Fusion Center Association (NFCA) heeft het datalek in een recent verstuurde waarschuwing bevestigd, zo meldt it-journalist Brian Krebs. Fusion centers zijn door de Amerikaanse overheid aangestuurde centra die politie-informatie verzamelen en onder andere instanties en opsporingsdiensten delen. De gestolen data gaat terug tot 1996.

Alles bij de bron; Security


 

Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vul maar in] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. 

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. 

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha