Databeveiliging & Dataverlies

Gemeente Oisterwijk heeft persoonlijke gegevens openbaar gemaakt van betrokkenen bij geplande milieucontroles. 

Het document bevat een overzicht van locaties, met daarin namen en adressen van personen, en ook persoonlijke informatie. Het werd afgelopen week door onze redactie openbaar op de website van de gemeente aangetroffen. Het document betreft locaties waar reguliere controles uitgevoerd moeten worden. Bij een van de personen stond ook vermeld dat de persoon ziek is.

Na een melding en vragen hierover van onze redactie is het voorval door de gemeente aangemerkt als datalek en gemeld bij de Autoriteit Persoonsgegevens. Een dag na de melding stond het overzicht nog op de website; enkele dagen later bleek de lijst van de website verwijderd.

Dergelijke onzorgvuldigheid is op de website van de gemeente eerder voorgekomen. Zo werden bijvoorbeeld (bedrijfs)namen genoemd in een verslag met klachten van inwoners en werden mails van raadsleden met daarin namen van inwoners integraal op de website gepubliceerd. Een andere situatie is dat er namen van ambtenaren op de gemeentesite worden vermeld in diverse documenten, waarvan de gemeente juist aan de media vraagt die namen vanwege privacy uit de te publiceren artikelen weg te laten.

De woordvoerder van het college (burgemeester en wethouders) laat in reactie op onze vragen weten: ''Wij hebben de publicatie aangemerkt als een datalek. Hiervan is melding gemaakt bij de Autoriteit Persoonsgegevens. Het document is van de raadspagina verwijderd."

Alles bij de bron; Oisterwijknieuws


 

Als je burgerservicenummer (bsn) op straat ligt, moet je je zorgen maken. Het nummer, dat in zijn huidige opzet sinds 2007 bestaat, is bedoeld om het de overheid makkelijk te maken om burgers te identificeren en om eenvoudig gegevens van verschillende overheidsorganen te kunnen koppelen. Tal van organisaties maken er gebruik van: van gemeenten tot het UWV, de Dienst Uitvoering Onderwijs (Duo), banken, scholen, ziekenhuizen en dus de GGD.

De vraag of we van het bsn af moeten, is er een die Corien Prins, hoogleraar recht en informatisering in Tilburg en voorzitter van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR), doet twijfelen. “Hoe meer systemen, hoe meer opslag van data, hoe belangrijker het wordt om daar met een breinaald doorheen te kunnen. Het bsn is daar heel geschikt voor. Zeker omdat je fouten wilt voorkomen en het dus belangrijk is dat de juiste gegevens aan de juiste personen worden gekoppeld.”

Tegelijk ziet zij het risico van een bsn dat op veel plekken rondslingert. Strikt gebruik was de norm, maar dat is verwaterd. “In de praktijk wordt je bsn op veel meer plekken geregistreerd dan de bedoeling is." 

Dat mensen amper een idee hebben in welke bestanden hun bsn allemaal staat, was niet de bedoeling toen het nummersysteem werd ingevoerd. Destijds werd afgesproken dat er een zogenoemde Landkaart zou komen: een website waarop iedereen zou kunnen vinden welke informatie er wordt uitgewisseld tussen overheidsorganen. Het moest het vertrouwen van burgers in het systeem vergroten. Die Landkaart, of iets vergelijkbaars, is nooit van de grond gekomen, aldus de Auditdienst Rijk, die afgelopen zomer een onderzoek naar het bsn publiceerde.

Dat gebrek aan transparantie ervaart een groep slachtoffers van de toeslagenaffaire ook. Zij stappen naar de rechter voor een nieuw bsn. De gedupeerden zeggen in de problemen te komen, omdat de Belastingdienst ze heeft aangemerkt als fraudeur. Zou een nieuw bsn ook de oplossing kunnen zijn voor een grotere groep, zoals de gedupeerden van het GGD-datalek?...

...Niet zozeer het bsn is hier het probleem, zegt André Koot, specialist in identificatie- en autorisatiesystemen. Hij vindt dat we veel te krampachtig met dat nummer omgaan. “Je kunt je bsn zonder problemen op je voorhoofd tatoeëren. Het nummer op zich is betekenisloos, het is alleen een manier voor de overheid om jou te identificeren. Als het wachtwoord van je email op straat ligt, is dat vele malen erger.”

Het probleem van het GGD-lek is dat het bsn onderdeel was van een groter pakket aan gegevens, zegt Koot. Iemand die kwaad wil, kan al die kennis bij elkaar gebruiken om je te misleiden. 

Om identiteitsfraude tegen te gaan, meent Andé Koot, moet dus niet zozeer het bsn-systeem veranderen, maar moeten bedrijven die een kopie van het paspoort accepteren als bewijs van iemands identiteit worden aangepakt. “Een makelaar die op basis van een kopie een huurcontract tekent, moet maar bewijzen dat hij het huis echt aan jou heeft verhuurd. In plaats van, zoals nu vaak het geval is, dat jij moet bewijzen dat je identiteit is misbruikt.”

Ook Corien Prins van de WRR vindt dat het bsn niet zozeer de kern van het probleem is. De vraag is meer, zegt zij, waarom overheden en organisaties zoveel data, waaronder het bsn, over mensen verzamelen. “Die vragen zich te weinig af: hebben we die gegevens echt nodig? En waarom? Ook gooien ze nooit iets weg. Waar we het in de supermarkt heel normaal vinden dat producten een datum hebben tot wanneer de kwaliteit gegarandeerd is, staat er nergens zo’n datum op de datahuishouding van de overheid en andere organisaties.”

Alles bij de bron; Trouw


 

 

Allekabels.nl heeft zo'n vijfduizend klanten via e-mail gewaarschuwd dat hun gegevens zijn gelekt. Volgens het bedrijf heeft een medewerker "vermoedelijk vanuit een thuiswerksituatie" excessief klantgegevens opgehaald. Daarop heeft Allekabels.nl besloten om de interne systemen strenger te beveiligen zodat medewerkers dit niet meer kunnen.

Daarnaast geeft de webwinkel aan dat het vanaf maart de e-mailadressen alleen nog versleuteld met partners zal delen. "Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen", zo stelt het bedrijf in de e-mail aan gedupeerde klanten. De webwinkel heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. 

Alles bij de bron; Security


 

Door een beveiligingslek bij cloudprovider Accellion zijn de gegevens van 1,6 miljoen inwoners van de Amerikaanse staat Washington gestolen. Eerder werden ook de centrale bank van Nieuw-Zeeland en de Australian Securities and Investments Commission (ASIC) slachtoffer van de aanval.

Accellion biedt een oplossing voor het uitwisselen van bestanden. Een kwetsbaarheid in deze dienst maakte het eind december voor een aanvaller mogelijk om toegang te krijgen tot bestanden van klanten. Hoewel de aanval eind december plaatsvond werd de rekenkamer van de staat Washington vorige week pas door Accellion ingelicht dat het ook slachtoffer van de aanval was geworden.

De aanvaller kreeg daarbij toegang tot databestanden van lokale overheden en staatsinstanties, waaronder het ministerie van sociale zaken en werkgelegenheid van Washington. Het gaat dan onder andere om informatie over mensen die een werkloosheidscompensatie aanvroegen, zoals naam, socialsecuritynummer, rijbewijs- of staatsidentificatienummer, bankrekeningnummer en werkgever.

Accellion heeft in een verklaring laten weten dat de bestandsuitwisselingsdienst door een "geraffineerde aanval" is getroffen. Details waaruit blijkt dat het om een complexe aanval gaat zijn echter niet gegeven. 

Alles bij de bron; Security


 

De Vrije Student wil de koppeling tussen de corona-IT systemen van de Rijksuniversiteit Groningen, de Hanzehogeschool en de GGD uitstellen. In een brief aan het bestuur van de universiteit laat de fractie in de universiteitsraad weten dat het vreest dat de privacy van de geteste studenten niet kan worden gewaarborgd in de systemen van de GGD.

De RUG en de Hanzehogeschool hebben samen een snelteststraat op de Zernike Campus. Deze draait nu nog zelfstandig op de systemen van de onderwijsinstellingen,
en een koppeling met de CoronIT van de GGD staat op de planning.

De Vrije Student wil die koppeling nu uitstellen. “De RUG heeft de verplichting om de medische gegevens van medewerkers en studenten heel goed te beveiligen, dat kan natuurlijk niet als je gebruik gaat maken van een onveilig systeem,” aldus fractievoorzitter David Jan Meijer. “De huidige RUG-systemen zijn wel veilig, laten we die vooral zelfstandig blijven inzetten om het testen te laten doorgaan.”

Alles bij de bron; OogTV


 

Te koop: namen, adressen, burgerservicenummers en andere persoonsgegevens van mensen die zich de afgelopen periode hebben laten testen op corona. Het nieuws dat deze data zijn gestolen en verhandeld doet flink wat stof opwaaien.

De gestolen gegevens komen uit twee databases van de GGD: het systeem waarin medewerkers test- en vaccinatieafspraken registreren (CoronIT) en het dossier waarin ze informatie uit bron- en contactonderzoeken vastleggen (HPZone).

Als je je laat testen, worden in CoronIT je naam, adres, contactgegevens (zoals telefoonnummer of e-mailadres), bsn, geslacht en geboortedatum vastgelegd. Na een positieve test volgt een bron- en contactonderzoek, waarvan de resultaten in het HPZone-systeem terechtkomen. Denk aan informatie over waar je bent geweest, over je nauwe contacten en je klachten ("noodzakelijke medische gegevens").

Volgens NOS-techredacteur Joost Schellevis is alleen al de combinatie van iemands geboortedatum en postcode interessant voor criminelen. "Daar kom je bij sommige bedrijven al heel ver mee. En die gegevens zijn ook handig als je iemand wil lastigvallen."

Hoe weet je of jouw gegevens zijn gestolen? Dat is nog niet zo makkelijk, zegt ICT-hoogleraar Borgesius. "Even afwachten dus, je hoort het vanzelf", zegt Borgesius. Zelf zegt de GGD in een verklaring dat de dienst nu nog niets kan zeggen over welke gegevens op straat liggen. "Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen."

Techredacteur Joost Schellevis snapt dat mensen zich zorgen maken over de huidige beveiliging van persoonlijke data bij de GGD. "Dat geldt zeker zolang die automatische monitoring er nog niet is, die nu dus voor eind maart gepland staat. Het lastige is dat je slachtoffer kunt zijn van datalekken zonder dat je het weet. Je merkt het pas als er iemand misbruik van maakt. Houd dus gekke mailtjes en appjes in de gaten."

Alles bij de bron; NOS


 

De GGD is al maanden op de hoogte van de vele privacyproblemen rondom de coronasystemen met daarin de privégegevens van miljoenen Nederlanders. De interne kritiek van medewerkers is door leidinggevenden telkens weggewuifd. "Het boeit ze gewoon niet", aldus een medewerker die anoniem wenst te blijven. 

"Ik heb toegang tot de gegevens uit de coronasystemen van allerlei andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben", vertelt een werknemer die via een derde partij voor de GGD werkt. "Iedereen zoekt vrienden, familie of bekende mensen op en met de exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast me niets dat er wordt gehandeld in die privégegevens." De GGD bevestigt dat medewerkers 'soms toegang blijven houden' tot gegevens uit andere GGD-regio's zodat ze snel kunnen bijspringen.

Een student die voor de testafsprakenlijn werkt vult aan: "Studenten kunnen nog geen tentamen maken zonder webcamsurveillance, maar om toegang te krijgen tot de persoonsgegevens van miljoenen Nederlanders is niets meer nodig dan een laptop en een beetje geduld. Het is een schande. Waarom is er zo paniekerig opgeschaald? Waarom is er niks gedaan met eerdere tekenen van problemen? En waarom kan ik nog steeds alle persoonsgegevens opzoeken die ik maar wil met alleen een achternaam en geboortedatum of geslacht?"

Zowel de GGD als minister Hugo de Jonge benadrukken dat medewerkers die met dit soort gevoelige data werken altijd een verklaring omtrent gedrag (VOG) moeten inleveren. Meer dan tien medewerkers die RTL Nieuws sprak hebben nooit een VOG ingeleverd of pas maanden nadat zij al aan de slag waren. Opvallend genoeg kreeg een aantal van hen deze week opeens de vraag of ze toch nog een VOG konden inleveren.

Alles bij de bron; RTLNieuws


 

Maandag bracht RTL Nieuws naar buiten dat er gehandeld wordt in persoonlijke gegevens die verkregen zijn uit de IT-systemen voor testregistratie en Bron- en contactonderzoek. Uit onderzoek van Dit is de Dag blijkt dat dezelfde risico's bestaan voor de registratie voor vaccins, waarvoor bovendien nog meer persoonlijke gegevens worden geregistreerd.

De GGD maakt voor het inplannen van coronatests gebruik van het programma CoronIT. Datzelfde programma wordt gebruikt voor het inplannen en registreren van vaccinaties. De onderzoeksredactie van Dit is de Dag heeft achterhaald dat voor het registreren van vaccins ook medische gegevens worden opgeslagen. Het gaat, naast de registratie van het BSN-nummers en adresgegevens, om informatie over zwangerschappen en allergieën. 

Hoewel de modules voor testplanning en vaccinregistratie gescheiden zijn en daarmee niet toegankelijk voor alle GGD-medewerkers, hebben er volgens de GGD op dit moment ongeveer 2000 medewerkers toegang tot informatie over de vaccinregistratie.

De verwachting is dat dat aantal toeneemt naar mate er meer gevaccineerd wordt. Verschillende GGD-medewerkers bevestigen tegenover de onderzoeksredactie van Dit is de Dag dat zoekopdrachten in CoronIT niet gecontroleerd worden. Daarmee dreigt hetzelfde probleem te ontstaan als bij het inplannen van testen.

Tweede Kamerlid Kathalijne Buitenweg (GroenLinks) vindt dat het registratiesysteem ook veiliger moet worden gemaakt om misbruik te voorkomen: "Als je al die gegevens voor alle callcentermedewerkers zichtbaar maakt, dan is er een probleem met je systeem."

Volgens Theo Hooghiemstra, expert gegevensbescherming in de zorg, kan de GGD een break the glass-systeem inbouwen, waardoor automatisch melding wordt gemaakt van onnodige zoekopdrachten. Op die manier kan fraude worden voorkomen. Ook kunnen er alarmbellen afgaan bij een bovengemiddeld aantal zoekopdrachten. Buitenweg stelt dat daar nu in geïnvesteerd moet worden: "Dan kunnen we corona bestrijden en dat op een privacy-vriendelijke manier doen." 

Alles bij de bron; NPO-Radio1


 

Privégegevens van Nederlanders die in twee coronasystemen van de GGD staan, worden illegaal verhandeld. Het gaat onder meer om burgerservicenummers. De politie heeft twee verdachten gearresteerd.

Uit onderzoek van RTL Nieuws blijkt dat privégegevens uit twee GGD-systemen te koop zijn via chatdiensten als Telegram, Snapchat en Wickr. Afnemers ontvangen adresgegevens, het e-mailadres, telefoonnummer en burgerservicenummer. Er zijn ook accounts die grote datasets aanbieden, met daarin gegevens van tienduizenden Nederlanders. 

De persoonsgegevens komen uit CoronIT en HPzone Light. Eerstgenoemde is een registratiesysteem voor coronatesten waar zo'n 26.000 GGD'ers en callcentermedewerkers van testlijnen toegang toe hebben. Het tweede systeem wordt gebruikt voor het bron- en contactonderzoek van de GGD. In HPzone Light staan de gegevens van met het coronavirus besmette Nederlanders.

De GGD wist niet van de handel in persoonsgegevens uit zijn systemen. De Autoriteit Persoonsgegevens spreekt van een mogelijk ernstig datalek en eist opheldering van de GGD.

Alles bij de bron; Tweakers


 

Bij een aanval op datingsite MeetMindful zijn de privégegevens van ruim 2,2 miljoen gebruikers gestolen en vervolgens op internet gelekt. Het gaat om namen, e-mailadressen, woonplaats, lichaamskenmerken, datingvoorkeuren, burgerlijke staat, geboortedatum, ip-adres, via bcrypt gehasht wachtwoord en Facebookgebruikersnaam en -authenticatietokens, meldt ZDnet.

Berichten, foto's, bekeken profielen of andere persoonlijke informatie met betrekking tot matches zijn niet in handen van de gebruiker gekomen.

Volgens MeetMindful maakte de aanvaller misbruik van een kwetsbaarheid om de gebruikersgegevens, die zo'n zes maanden oud zijn, te stelen. Om wat voor beveiligingslek het precies gaat laat de datingsite niet weten, maar het probleem is inmiddels verholpen. Alle gedupeerde gebruikers zijn door de datingsite ingelicht. 

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha