Databeveiliging & Dataverlies

Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vul maar in] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. 

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. 

Alles bij de bron; Security


 

De namen, adressen, telefoonnummers en wachtwoorden van honderdduizenden klanten van maaltijdbezorger Foodora zijn gelekt. Onder de 50.000 gelekte gegevens van Nederlandse klanten bevinden zich in ieder geval 22.000 versleutelde wachtwoorden, zegt Gevers. In een aantal gevallen zouden die ook te kraken zijn.

Het gaat in ieder geval om de persoonlijke gegevens van klanten die sinds 2016 via de dienst eten hebben laten bezorgen, bevestigt moederbedrijf Delivery Hero. Destijds was Foodora ook actief in Nederland. Het merk verdween uit het straatbeeld nadat het Delivery Hero in 2018 niet lukte om een koper voor de Nederlandse tak te vinden.

Alles bij de bron; NU


 

Een hacker heeft toegang weten te krijgen tot de e-mailbox van het Centrum voor Jeugd en Gezin (CJG) Rijnmond. Op die manier had hij toegang tot e-mailverkeer met duizenden cliënten, bevestigt woordvoerder Mariska Briët. 

Om welke gevoelige informatie het gaat, hangt af van het e-mailverkeer dat cliënten met het CJG Rijnmond hebben gehad. "Dat gaat soms om een naam, soms om een adres en soms om een BSN", schetst de woordvoerder de situatie.

Uit onderzoek van een computerbeveiligingsbedrijf komt naar boven dat de hacker niet verder in de systemen is gekomen dan de e-mailbox, aldus Briët. "Daaruit is gebleken dat er geen toegang is geweest tot cliëntendossiers." Ook is er "geen activiteit" meer waargenomen nadat het CJG Rijnmond ontdekte dat een onbevoegde toegang had tot de mailbox. 

Aan de betrokkenen is een brief gestuurd waarin het CJG hen waarschuwt dat de persoonlijke informatie van cliënten misbruikt kan worden. Informatie zoals namen en BSN's zijn gevoelig voor bijvoorbeeld identiteitsfraude.

De hacker wist toegang te krijgen tot de e-mailbox via een phishingmail naar enkele medewerkers. Nadat een medewerker op een malafide link had geklikt, kon de onbevoegde in het systeem.

Alles bij de bron; NU


 

Het bedrijf Formdesk wist van het beveiligingslek in de Infectieradar die het bedrijf ontwikkelde voor het RIVM, liet minister de Jonge dinsdag aan de Tweede Kamer weten. In een reactie zegt het bedrijf "werkelijk geen idee" te hebben waar de minister dit op baseert.

Zaterdag werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.  

"Bij het ontwikkelen van die site zijn juist wel veiligheidschecks gedaan, waarbij ook dit (specifieke lek, red.) als een van de veiligheidsrisico's in beeld is gekomen", zei De Jonge over wat er op dit moment over het lek bekend is. "Vervolgens is daar ook een oplossing voor aangedragen die Formdesk moest doorvoeren. Deels is dat overgenomen en deels niet", aldus De Jonge. "Zo gaan de dingen soms. Menselijke fouten zijn menselijk."

Marco Beuk van Formdesk laat in een reactie weten verbaasd te zijn over het verhaal van De Jonge. Volgens hem is de kwetsbaarheid niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt hij over de verklaring van de minister.

De onderzoeker en de journalist die het lek hebben ontdekt en gemeld hadden toegang tot de formulieren van 49 personen. Deze mensen zijn daarvan op de hoogte gesteld.

Alles bij de bron; NU


 

De Infectieradar van het RIVM, waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Dat blijkt zaterdag uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. Het RIVM heeft de database uit de lucht gehaald.

Volgens de NOS kon "iedereen met enige technische vaardigheid tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen".

Deelnemers aan de Infectieradar vullen wekelijks een formulier in waarbij ze aangeven welke klachten ze hebben. Hiermee kan het RIVM volgen hoe gezondheidsklachten verspreid zijn in Nederland en hoe zich dat ontwikkelt in de tijd.

Deelnemers aan de Infectieradar krijgen een uniek nummer toegewezen. Bij het invullen van het formulier was dat nummer te zien in de adresbalk. Wie het nummer veranderde, kreeg een formulier te zien van een andere deelnemer. Onder meer e-mailadres, geboortejaar en postcodecijfers waren dan zichtbaar.

Het lek bestond al sinds de introductie van Infectieradar op 17 maart.

Alles bij de bron; NU


 

Gegevens van mensen die tussen 2009 en 2017 een Porsche hebben gekocht zijn buitgemaakt bij de diefstal van een USB-stick. Dat bevestigt Pon nadat er naar gedupeerde klanten een mail is gestuurd. Een USB-stick met NAW-gegevens (inclusief telefoonnummer en/of mailadres) werd gestolen ’uit een beveiligde ruimte in een van onze kantoren’, zo schrijft het concern in een statement...

...ICT-advocaat bij Lawfox Wouter Dammers laat weten dat het niet uitzonderlijk is dat gevoelige data op usb-sticks wordt bewaard. „Erg handig vind ik dat niet”, laat hij weten. „Een USB-stick kan je makkelijk kwijtraken, zeker als de informatie die erop staat onversleuteld is, is dat niet ideaal. Zeker als het onversleuteld is, is dit niet handig.”

Alles bij de bron; Telegraaf


 

De ontwikkelaars van contentmanagementsysteem (cms) Joomla hebben 2700 gebruikers gewaarschuwd voor een datalek met onversleutelde back-ups waarbij hun persoonlijke gegevens zijn gelekt. Het gaat om gebruikers met een account op de Joomla Resources Directory, waar partijen hun Joomla-gerelateerde diensten kunnen aanbieden. Joomla is een cms dat door meer dan 1,5 miljoen websites wordt gebruikt. Het datalek kwam na een interne website-audit aan het licht.

Bij het datalek waarover Joomla bericht werden onversleutelde back-ups van de JRD in de Amazon Web Services S3-bucket van een derde partij opgeslagen.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. De derde partij die de S3-bucket beheerde is eigendom van een voormalige teamleider van de Joomla Resources Directory en ten tijde van het datalek nog steeds lid van het JRD-team. Elke onversleutelde back-up bevatte een volledige kopie van de website. Het gaat onder andere om volledige naam, zakelijke adresgegevens, zakelijk e-mailadres, zakelijk telefoonnummer, bedrijfswebsite, gehasht wachtwoord, ip-adres en andere informatie van 2700 gebruikers die een JRD-account hadden. De derde partij waar de back-ups werden opgeslagen is gevraagd die te verwijderen.

Alles bij de bron; Security


 

Het UWV heeft vorig jaar meer dan 600 datalekken aan de Autoriteit Persoonsgegevens gemeld. Een jaar eerder waren het er nog 342. Dat laat de instantie in het jaarverslag over 2019 weten. Vorig jaar ontving het UWV 1657 signalen over datalekken. Van deze datalekken waren er 606 "meldenswaardig" en werden aan de Autoriteit Persoonsgegevens gerapporteerd.

Vorig jaar kreeg de instantie met twee grote datalekken te maken. Bij het eerste datalek werden via het account van een werkgever op Werk.nl 117.000 unieke cv's gedownload. Daarop zijn alle gedupeerden en de AP ingelicht en het betreffende account geblokkeerd. Tevens zijn alle wachtwoorden van werkgevers gereset en oude accounts opgeschoond. Ook zijn de processen rond de monitoring verbeterd.

Bij het tweede grote datalek had een UWV-medewerker bij een uitnodigingsmail een bijlage toegevoegd met persoonsgegevens van 586 klanten. De mail werd naar 99 klanten gestuurd. 

Ook de Sociale Verzekeringsbank (SVB) heeft vorig jaar meer datalekken bij de Autoriteit Persoonsgegevens gemeld. Werd er in 2018 nog 157 keer melding van een datalek bij de toezichthouder gemaakt, vorig jaar ging het om 512 datalekken. In de meeste gevallen ontstaan de datalekken bij het versturen van post. De SVB is verantwoordelijk voor de uitvoering van het AOW-pensioen, de kinderbijslag en enkele andere regelingen.

Na onderzoek door de Autoriteit Persoonsgegevens heeft de SVB de registratie van datalekken aangepast, zodat voortaan op een meer consequente wijze het soort datalekken en genomen maatregelen wordt bijgehouden. Tevens zijn er bewustwordingscampagnes onder medewerkers en leidinggevenden gehouden voor het voorkomen en rapporteren van datalekken bij de organisatie.

Van de 512 datalekken die de SVB vorig jaar bij de Autoriteit Persoonsgegevens meldde werden er 192 veroorzaakt bij het verzenden van de jaaropgaven. Het ging om een storing in een foutendetectiesysteem in de geautomatiseerde postverwerking bij de postverwerker van de SVB. Pas na de verzending werd ontdekt dat brieven gericht aan meerdere personen in één en dezelfde enveloppe terecht waren gekomen. Verder zorgden fouten in de adressering, meer brieven bij elkaar in één envelop bij handmatige verzendingen en het verwerken van stukken in verkeerde dossiers tot de nodige datalekken.

Beide instanties praten de toename goed met de motivatie 'het toegenomen bewustzijn onder medewerkers.' daarnaast claimt de SVB dat 'een stijgend privacy-bewustzijn van klanten ook leidt tot een toename van meldingen die de SVB ontvangt'

Alles bij de bron; Security [UWV] & Security [SVB]


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha