Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.
Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.
Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.
Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.
Alles bij de bron; Security
Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.
Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen.
Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen.
Alles bij de bron; Computable
Met een gemiddelde van 1,45 miljoen euro betalen Nederlandse bedrijven de hoogste dwangsom voor een ransomware-aanval wereldwijd. Van de Nederlandse bedrijven zegt 44 procent het afgelopen jaar slachtoffer te zijn geweest van ransomware. Wereldwijd ligt dit percentage op 57 procent. Van de Nederlandse bedrijven die slachtoffer zijn geweest van ransomware, zegt slechts een vijfde daadwerkelijk een dwangsom betaald te hebben.
Dit blijkt uit het jaarlijkse Global Security Attitude onderzoek uitgevoerd onder 2200 IT-beslissers en cybersecurity professionals wereldwijd.
Alles bij de bron; DutchIT
De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.
De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde...
...Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten.
De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Bij twijfel: houd data in EU
Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.
Zie verder:
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.
Alles bij de bron; AutoriteitPersoonsgegevens
Meer dan tien miljoen bestanden met details over hotelboekingen waren inzichtelijk op een verkeerd geconfigureerde AWS S3-bucket. De data werd beheerd door Prestige Software, een Spaans bedrijf dat samenwerkt met onder andere Agoda, Booking.com en Expedia...
...Volgens de onderzoekers gaat het om 24,4GB aan logbestanden en bevat de verzameling gegevens van hotelboekingen wereldwijd. Zowel recente boekingen als details over oudere boekingen, tot 2013, werden aangetroffen.
De persoonsgegevens werden zonder enige bescherming opgeslagen. Het gaat om creditcardgegevens, naam- en adresgegevens, paspoortnummers en e-mailadressen van hotelbezoekers. Ook de details van hotelreserveringen, zoals de kosten, het aantal nachten en aanvullende verzoeken staan vermeld.
Alles bij de bron; Tweakers
Cybersecurity-onderzoekers van de Schotse Abertay University zijn erin geslaagd meer dan 75.000 gewiste bestanden te halen van een honderdtal usb-sticks die ze kochten via tweedehands- en zoekertjessites. Onder de bestanden: belastingaangiften, contracten en bankdocumenten.
Op het eerste zicht leken op 98 van de honderd sticks alle data verdwenen te zijn, maar met enkele vrij verkrijgbare tools konden de onderzoekers de gegevens weer boven water halen...
...De manier waarop computers bestanden van sticks verwijderen, houdt niet in dat de data ook effectief weg is. Veel mensen beseffen dat niet. ‘Het bestand wordt uit een index verwijderd, zodat het ‘aan het zicht wordt onttrokken’', legt professor Renaud uit. ‘Het is er echter nog steeds en als je weet hoe, kun je het gemakkelijk terugvinden met behulp van forensische hulpmiddelen.’
Er bestaat anderzijds ook software die usb-drives permanent kan wissen. ‘Als je een stick gaat verkopen, raden we je ten zeerste aan dat te gebruiken’, besluit Renaud.
Alles bij de bron; Computable
De criminelen die eind augustus de systemen van de Universiteit van Newcastle met ransomware infecteerden en daarbij ook allerlei data buitmaakten hebben een deel van de gegevens online gezet. Het gaat om privégegevens van zowel medewerkers als studenten, waaronder namen, e-mailadressen, telefoonnummers, adresgegevens en informatie over de gevolgde opleiding.
In eerste instantie liet de universiteit nog weten dat er geen persoonlijke data van studenten was gestolen. Dat blijkt toch het geval te zijn en de aanvallers hebben een deel van de data gepubliceerd, zo melden The Newcastle Tab en de universiteit. Studenten en medewerkers krijgen het advies om alert te zijn op phishingmails die op basis van de gelekte gegevens kunnen worden verstuurd.
Alles bij de bron; Security
De oude vertrouwde pager heeft al binnen veel organisaties plaatsgemaakt voor een echte alleskunner: de zorgsmartphone die vaak allerlei functionaliteiten combineren.
Het is eigenlijk een telefoon, pager en tablet in één. De functionaliteiten op de zorgsmartphone, zoals toegang tot het elektronisch patiënten- of cliëntendossier (EPD/ECD), zorgen ervoor dat een zorgverlener over veel meer patiënt- of cliëntinformatie beschikt.
Daarnaast wordt berichtgeving en alarmering steeds persoonlijker. Zorgverleners zien bijvoorbeeld dat er een melding binnenkomt van mevrouw Janssen met een stijgende hartslagfrequentie op kamer 1.02. Het feit dat de melding persoonlijke informatie bevat (in plaats van alleen een kamernummer), zorgt ervoor dat je te maken krijgt met de AVG. Je moet volgens deze privacywet namelijk weten welke zorgverlener toegang heeft tot welke patiënt- of cliëntinformatie. Zomaar anoniem een smart device uit het rek pakken is niet meer mogelijk. Het moet traceerbaar zijn wie welke patiëntinformatie heeft gezien.
Hoe realiseer je deze autorisatie en traceerbaarheid?...
...Om hieraan te voldoen, zonder het werkproces omslachtig te maken, zijn twee zaken noodzakelijk: een single sign-on functie en het dynamisch toewijzen van rollen voorafgaand aan een shift.
Alles bij de bron; ICT&Health
Het aantal datalekken wereldwijd is in de eerste 9 maanden van dit jaar flink gedaald, maar het aantal records dat hierbij is betrokken is verviervoudigd ten opzichte van dezelfde periode een jaar eerder tot 36 miljard.
Dat blijkt uit onderzoek van Risk Based Security, dat elk kwartaal cijfers hierover publiceert. Het gaat daarbij om lekken die RBS in publiek toegankelijke bronnen verzamelt.
De enorme stijging van het aantal records dat betrokken was bij datalekken wordt voornamelijk veroorzaakt door enkele grote slecht geconfigureerde databases, aldus het rapport van RBS. Bij twee datalekken werden in beide gevallen ruim een miljard records geraakt. Bij vier andere lekken waren ruim 100 miljoen records betrokken.
Maar ook de daling van het aantal datalekken is niet zo mooi als het lijkt, benadrukken de onderzoekers. Het lijkt er op dat er minder lekken gemeld worden dan daadwerkelijk hebben plaatsgevonden. Zo worden vrijwel zeker veel aanvallen met ransomware niet gemeld, terwijl bij de datalekken die wèl zijn gemeld zeker 21 procent veroorzaakt werd door ransomware. Bovendien zorgt volgens de onderzoekers van RBS de pandemie voor veel minder aandacht voor datalekken, waardoor het makkelijker is die voor je te houden.
Alles bij de bron; AGConnect
Het Britse National Cyber Security Centre (NCSC) heeft afgelopen jaar één miljoen ip-adressen van de National Health Service (NHS), waaronder ziekenhuizen, medische centra en andere zorgaanbieders, op kwetsbaarheden gescand. Dat laat het NCSC in het jaaroverzicht weten (pdf). De scan leverde meer dan 160 kwetsbaarheden op die als "high-risk" en kritiek werden aangemerkt.
Het NCSC was het afgelopen jaar betrokken bij het afhandelen van 723 cybersecurity-incidenten. De Britse overheidsinstantie meldt verder dat het aantal ransomware-incidenten waar het bij werd ingeschakeld meer dan verdrievoudigde.
Britse internetgebruikers kunnen verdachte e-mails en phishingmails naar het NCSC sturen. Dat werd het afgelopen jaar meer dan 2,3 miljoen keer gedaan. Hierdoor konden meer dan 22.000 malafide url's en 9300 scams worden geblokkeerd of offline gehaald. Tevens gingen door toedoen van het NCSC bijna 167.000 phishing-url's offline.
Alles bij de bron; Security