Het UWV heeft een boete gekregen van de Autoriteit Persoonsgegevens. Het UWV moet 450.000 betalen voor het slecht beveiligen van een berichtenomgeving. Door de slechte beveiliging lekten gegevens van bijna 15.000 werkzoekenden uit, waaronder bsn's en medische gegevens.
Het probleem zat in het systeem Mijn Werk dat sinds 2007 wordt gebruikt door burgers die werk zoeken via werk.nl, de website van het Uitvoeringsinstituut Werknemersverzekeringen.
In het boetebesluit schrijft de AP dat het onderzoek deed naar negen van die datalekken die tussen 1 januari 2016 en september 2018 hebben plaatsgevonden. In alle negen gevallen ging het om hetzelfde soort lek: bij het versturen van een groepsbericht kwam een Excel-bestand met een export van gegevens van geadresseerden per ongeluk terecht in de Mijn Werkmap van individuele gebruikers. Die konden daardoor de gegevens van andere werkzoekenden inzien.
Bij de negen keren dat dat gebeurde werden telkens andere gegevens gelekt, stelt de AP. Soms ging het om NAW-gegevens, maar in andere gevallen ook om burgerservicenummers, momenten dat betrokkenen zich hadden ingeschreven bij het UWV en ook beschrijvingen van psychische en lichamelijke ziektes waardoor mensen niet konden werken. Daarnaast lekten persoonsgegevens zoals vorige beroepen, beroepsgroepen of opleidingsniveau's uit.
De Autoriteit Persoonsgegevens hekelt vooral het feit dat het UWV geen passende beveiligingsmaatregelen had genomen om de lekken te voorkomen. Pas na het achtste datalek, in augustus 2018, besloot het UWV over te gaan op technische maatregelen zoals het blokkeren van spreadsheets bij groepsberichten. "Deze technische maatregel is in december 2018, dus ver na het negende datalek, door UWV ingevoerd", schrijft de AP.
De AP geeft een boete uit de tweede categorie van zijn eigen boetebeleidsregels, waarvan het maximumbedrag 245.400 euro is. Maar de AP zegt dat het 'op grond van de mate en ernst van de overtreding het basisbedrag te verhogen naar 450.000 euro'.
Alles bij de bron; Tweakers
In navolging van verschillende andere Europese landen maakt ook de Nederlandse overheid gebruik van datalekzoekmachine Have I Been Pwned (HIBP) om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen.
Have I Been Pwned is een zoekmachine waarmee gebruikers in een database met bijna 11,4 miljard gestolen e-mailadressen kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt.
Daarnaast is het voor domeineigenaren mogelijk om via een API binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Voor overheidsinstanties is deze dienst kosteloos. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gaat de API nu ook gebruiken. Inmiddels zijn er 24 landen op Have I Been Pwned aangesloten.
Allesbij de bron; Security
Uit onderzoek van Capterra onder bijna 1.000 Nederlanders die het afgelopen jaar een (online) afspraak met een arts hadden blijkt dat bijna 70% er niet volledig op vertrouwt dat zorginstellingen veilig omgaan met hun patiëntinformatie. 15% heeft zelfs weinig tot geen vertrouwen. Slecht 17% van de ondervraagde Nederlanders vindt dat de privacy van patiëntgegevens momenteel goed is geregeld in de zorg.
De meeste ondervraagden zeggen zich bewust te zijn welke gegevens ze delen met hun arts via digitale toepassingen. Bijna een kwart maakt zich zorgen hoe deze persoonsgegevens via de digitale toepassingen wordt verwerkt. Hoewel Nederlanders zich zorgen maken over de privacy van gezondheidsapps, gebruikt een derde deze apps. De populairste apps zijn de apps die stappen tellen (59%), slaap meten (36%), hartslag monitoren (30%) en CoronaMelder (30%).
Dat de zorgen over de beveiliging van gezondheidsinformatie niet helemaal onterecht zijn blijkt uit onderzoek van The Internet Cleanup Foundation, een Nederlandse stichting die onderzoek doet naar de basisbeveiliging van websites en e-mailservers. De Volkskrant schrijft hierover.
Alles bij de bron; AGConnect
Western Digital zegt dat de hackers achter de kwaadaardige software in My Book Live- en Live Duo-harde schijven, waardoor gebruikers van de schijven massaal hun data kwijtraakten bij het aansluiten op internet, een zeroday gebruikten en geen bug uit 2018.
In eerste instantie werd gedacht dat er gebruik werd gemaakt van een kwetsbaarheid die sinds 2018 bekend was. In een update op hun website schrijft Western Digital dat uit nader onderzoek blijkt dat het gaat om een zeroday, een niet eerder ontdekte kwetsbaarheid die al in 2011 werd geïntroduceerd aan My Book Live als onderdeel van een refactor van de authentificatielogica in de firmware van de harde schijf. De kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren via een administrator api, waardoor zonder inlog een factory reset kan worden ingesteld.
Volgens securitybedrijf Censys zijn ruim 51.000 My Book Live-apparaten die via internet toegankelijk zijn inmiddels gecompromitteerd. Het zou ook om drieduizend apparaten in Nederland gaan. Western Digital zal vanaf begin juli slachtoffers van wie de data is gewist "data recovery services" aanbieden. Ook komt er een omruilactie zodat eigenaren van een kwetsbare My Book Live kunnen upgraden naar een nog wel ondersteund My Cloud-apparaat.
Alles bij de bronnen; Tweakers & Security
Een hacker heeft gegevens gewist van verschillende mensen die in het bezit zijn van een harde schijf van Western Digital, meldt Motherboard.
Het gaat om de zogeheten My Book Live-harde schijven die tussen de 2 en 24 terabyte aan ruimte hebben om gegevens op op te slaan. De schijven zijn standaard verbonden met het internet. Door een cloudfunctie hebben gebruikers ook op afstand toegang tot hun gegevens.
Sommige eigenaren merkten de afgelopen week dat hun harde schijven ineens waren teruggezet naar de fabrieksinstellingen. Daarbij zijn al hun gegevens verloren gegaan.
Western Digital zegt de zaak te onderzoeken en raadt mensen aan om de betreffende harde schijven voorlopig niet meer met het internet te laten verbinden.
Alles bij de bron; NU
Het moet makkelijker worden om een schadevergoeding te krijgen bij datalekken of onrechtmatige gegevensverwerking. Zo’n stok achter de deur is belangrijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Dat stelt Tim Walree, onderzoeker en docent privaatrecht & technologie aan de Radboud Universiteit in Nijmegen in zijn promotie-onderzoek. Walree is als promovendus verbonden aan het Onderzoekcentrum Onderneming & Recht...
...In zijn promotieonderzoek bekeek Tim Walree daarom of en hoe het recht op schadevergoeding via civielrechtelijke procedures kan helpen bij de handhaving van de AVG.
‘De regels zoals die gelden in de AVG zijn niets waard als die niet gehandhaafd kunnen worden. Dat kan op twee manieren: door een toezichthouder, maar ook via het civiele recht,’ legt Walree uit. ‘We zien nu eigenlijk dat de toezichthouder niet voldoende middelen heeft om de AVG goed te handhaven. Maar als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen bij organisaties die onzorgvuldig met data omgaan, zorgt dat óók voor een financiële prikkel bij die organisaties, wat op termijn ook voor betere naleving zorgt.’...
... Daarnaast zouden vooraf bepaalde bedragen vastgesteld kunnen worden, uit te keren bij substantiële inbreuk op de AVG. ‘Denk bijvoorbeeld aan een bedrijf dat zonder te informeren je gegevens doorverkoopt, of uitgelekte informatie over je afspraken bij de dokter.’
Walree: ‘Door organisaties te verplichten in zulke gevallen direct een vergoeding van bijvoorbeeld enkele honderden euro’s uit te keren, neem je ook wat apathie weg bij mensen. Het mes moet aan twee kanten gaan snijden: als mensen weten welk bedrag ze kunnen verwachten ondernemen ze eerder actie, waardoor organisaties ook eerder onder druk staan om de AVG voldoende serieus te nemen.’
Alles bij de bron; Computable
Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana (pdf).
Volgens Carnival Cruise heeft een aanvaller op 19 maart toegang tot een aantal e-mailaccounts gekregen. In deze accounts was persoonlijke informatie aanwezig van gasten en medewerkers. Het gaat onder andere om namen, adresgegevens, telefoonnummers, paspoortnummers, geboortedatum, gezondheidsinformatie en nationale identificatienummers. Hoe de aanvaller kon inbreken op de accounts is niet bekendgemaakt.
Alles bij de bron; Security
Onbekenden hebben toegang gekregen tot een database van Qualifio, een bedrijf dat online formulieren aan sites levert. Hierdoor zijn persoonsgegevens van zeker 5100 Bnnvara- en VPRO-leden en -abonnees uitgelekt. Van een deel zijn ook bankrekeningnummers uitgelekt.
Mogelijk zijn er ook gegevens van andere bedrijven gelekt, aangezien Qualifio veel klanten had. Op de website van het bedrijf staan bedrijven als Mailchimp, Adobe, Salesforce, Nestlé, MediaMarkt en L'Oréal vermeld. Het is niet duidelijk of deze bedrijven daadwerkelijk slachtoffer zijn van het datalek.
Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd. Het gaat om naam- en adresgegevens, geboortedata en bankrekeningnummers. Deze gegevens zijn door 'onbevoegden' buitgemaakt, schrijft de omroep. Het lek zou inmiddels gedicht zijn.
Alles bij de bron; Tweakers
Labonovum, een aanbieder van bloed-, speeksel- dna- en urinetesten, heeft de privégegevens van duizenden klanten gelekt. Het zou volgens NU.nl gaan om de namen, e-mailadressen, woonplaatsen en postcodes van naar schatting ruim zesduizend mensen. De site werd via een tipgever erop gewezen dat de persoonsdata via de website van Labonovum voor iedereen toegankelijk waren.
Het bedrijf biedt via PostYourLab verschillende testpakketten, onder andere om te testen op corona-antistoffen. De website laat het volgende weten: "Download je gegevens tijdig. De resultaten blijven 30 dagen beschikbaar. Daarna worden je gegevens verwijderd." Aan de hand van de gevonden data blijkt dat niet zo te zijn. De directeur van Labonovum laat in een reactie weten dat die tekst niet goed omschrijft hoe het bedrijf met persoonlijke gegevens omgaat. Labonovum zal gegevens voortaan wel na dertig dagen verwijderen.
Labonovum is van plan om alle gedupeerde klanten vandaag te informeren en aangifte bij de politie te doen. Het bedrijf kijkt nog of het de Autoriteit Persoonsgegevens moet waarschuwen.
Alles bij de bron; Security
De Autoriteit Persoonsgegevens (AP) heeft een bedrijf een boete van € 15.000,- opgelegd, omdat het in een verzuimsysteem bijhield welke klachten zieke medewerkers hadden. Daarnaast was het systeem ook niet voldoende beveiligd.
Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming. Dat betekent dat het verwerken van die persoonsgegevens in principe verboden is, tenzij sprake is van één van de uitzonderingen genoemd in de wet.
Zo is het verboden dat de werkgever vragen stelt aan de zieke werknemer die gaan over de aard en/of de oorzaak van de ziekte. Ook als de medewerker deze informatie op eigen initiatief verstrekt, mag deze informatie niet worden vastgelegd of gedeeld.
De AP legt het bedrijf in kwestie een boete op voor het overtreden van het verwerkingsverbod van bijzondere persoonsgegevens en voor het niet treffen van passende beveiligingsmaatregelen...
...De verzuimregistratie was ook onvoldoende beveiligd. Zo was de verzuimregistratie online toegankelijk, zonder een vorm van authenticatie. Als een verzuimregistratiesysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactor-authenticatie verlopen.
Alles bij de bron; BinnlandsBestuur