Databeveiliging & Dataverlies

De lekken werden door de onafhankelijke Russische onderzoeker Ivan Begtin gevonden. Hij onderzocht tientallen overheidswebsites. Daaruit bleek dat 23 websites burgerservicenummers lekken. Veertien van die sites lekken paspoortinformatie.

In totaal zijn gegevens van ruim 2,25 miljoen Russische burgers gelekt, schrijft Begtin. De informatie kan door iedereen worden gedownload. Naast paspoortinformatie en burgerservicenummers lekten ook namen, e-mails en identificatienummers voor belastingdoeleinden. Via de lekken zijn onder meer data van Russische politici te vinden.

Begtin schrijft in een Facebook-bericht dat hij de Russische telecomwaakhond Roskomnadzor acht maanden geleden op de hoogte bracht van het lek en vertelt hij dat de autoriteit de lekken niet heeft gedicht. De onderzoeker stelt dat de informatie nog steeds in te zien is.

Alles bij de bron; NU


 

Een hacker heeft toegang gekregen tot persoonlijke gegevens van woningzoekenden bij huurmakelaar NederWoon, een organisatie met meer dan 25.000 huurwoningen. De indringer had onder meer toegang tot de namen, adressen, telefoonnummers ID-bewijzen en werkgeversverklaringen van mogelijk duizenden woningzoekenden...

...De hacker kreeg toegang tot gegevens die door woningzoekenden zijn ingevuld of geüpload over de periode 2017 tot en met 2019, de indringer kon daar ongemerkt in rondneuzen. NederWoon weet nog niet exact welke gegevens er in de database zaten. Bij de invulvelden die de organisatie op de website gebruikte om de database te vullen werd gevraagd om een naam, adres, woonplaats, telefoonnummer en een e-mailadres. Woningzoekenden hadden ook de mogelijkheid om online documenten te uploaden, waaronder identiteitsbewijzen met BSN-nummers en werkgeversverklaringen. Ook daar kon de hacker bij. 

De gelekte persoonsgegevens maken identiteitsfraude mogelijk. Criminelen kopen bijvoorbeeld op naam van iemand anders spullen zonder te betalen. ,,Met een BSN-nummer in combinatie met andere gegevens kun je soms al een lening afsluiten of een huurcontract tekenen. Hoe meer de kwaadwillende in handen heeft, hoe meer schade hij kan uitrichten.’’ aldus de AP.

Alles bij de bron; deStentor


De persoonlijke informatie, waaronder telefoonnummers en e-mailadressen, van miljoenen Instagram-influencers heeft voor onbekende tijd online gestaan, meldt TechCrunch maandag. De gegevens waren gekoppeld aan openbare profielinformatie.

De gegevens waren inzichtelijk via een server die niet was afgeschermd met een wachtwoord. Volgens de Amerikaanse nieuwssite waren daar de gegevens van in ieder geval 49 miljoen accounts te vinden.

Naast influencers, personen met een groot online bereik die via sociale media marketing bedrijven, bevatte de database ook gegevens van accounts van beroemdheden en bedrijven. Wie precies slachtoffer is geworden van de dataverzameling, is uit de berichtgeving niet duidelijk.

Alles bij de bron; NU


 

De Amerikaanse autoriteiten hebben een 32-jarige man aangeklaagd voor het stelen van de gegevens van 78 miljoen mensen bij zorgverzekeraar Anthem, alsmede inbraken bij verschillende andere bedrijven. De diefstal bij Anthem was mogelijk nadat een medewerker een e-mail met een besmette bijlage opende.

Via de besmette computer van de werknemer konden de aanvallers minstens 90 andere systemen overnemen, waaronder het systeem waar Anthem alle klantgegevens bewaart. Bij de aanval werden geboortedata, medische identiteitsnummers, social security nummers, adresgegevens, e-mailadressen en werkgegevens, waaronder salarisinformatie, gestolen. Medische informatie en creditcardgegevens zouden niet zijn gecompromitteerd. Anthem besloot het datalek voor 260 miljoen dollar te schikken.

Alles bij de bron; Security


 

Via een account van een UWV-werkgever zijn tussen 16 en 30 april ruim 117.000 unieke cv’s gedownload. Volgens Computable-expert René Veldwijk toont het incident aan dat UWV veel te naïef is rondom de online-verwerking van persoonsgegevens. ‘Anno 2019 zet je niet op deze manier persoonsgegevens online om vraag en aanbod bij elkaar te krijgen.’

In een artikel in Trouw meldt hij dat de gemiddelde datingsite persoonsgegevens beter afschermt dan Werk.nl van UWV. Hij doelt op de uitgebreide persoonsgegevens die sollicitanten beschikbaar stellen, zoals naam, telefoonnummer en huisnummer. 

Veldwijk ziet dat meer partijen bezig zijn om met eigen ai-engines grote databestanden leeg te trekken en data te analyseren. Bijvoorbeeld omdat de eigen software voor matchmaking van UWV niet goed zou werken. Die ai-engines zijn overigens vaak in strijd met de wet, omdat gebruikers geen nadrukkelijke toestemming hebben gegeven om hun data af te staan met dat doel.

Alles bij de bron; Computable


 

De cv's van 117.000 mensen zijn onrechtmatig gedownload nadat een onbekend persoon toegang heeft gekregen tot een werkgeversaccount bij het UWV. Dat meldt de uitkeringsorganisatie vrijdag op zijn website.

Via het account hadden onbevoegde personen toegang tot cv's van personen die ingeschreven staan bij werk.nl. Het account is na de ontdekking van het lek meteen geblokkeerd.

De personen van wie een cv is gedownload, worden door het UWV ingelicht over het lek en gewaarschuwd voor spam en phishingberichten.

Alles bij de bron; NU


 

Onderzoekers van de Consumentenbond zochten in maart en april op onderwerpen binnen de categorieën geloof, jeugd, medisch en geaardheid. Via zoekvragen over onder meer depressie, verslaving, seksuele geaardheid en kanker kwamen zij op 106 websites.

Bijna de helft (48%) van die sites plaatste bij bezoek direct, dus zonder toestemming van de bezoeker, een of meer advertentiecookies, bijna altijd van Google. Websites als CIP.nl, Refoweb.nl en scholieren.com plaatsten er zelfs tientallen. Ouders.nl maakte het helemaal bont en plaatste maar liefst 37 cookies.

Ook een flink aantal instellingen voor geestelijke gezondheidszorg viel op. Onder andere ggzdrenthe.nl, connection-sggz.nl, parnassiagroep.nl en lentis.nl volgden ongevraagd het surfgedrag van hun bezoekers en speelden deze informatie door naar Google. 

Olof King, directeur belangenbehartiging Consumentenbond: ‘De privacywet AVG is nu een jaar van kracht en het is zorgwekkend hoe slecht de wet wordt nageleefd. Google verrijkt jouw profiel met deze informatie en het is volstrekt onduidelijk wat er daarna mee gebeurt. Dat juist dit soort sites – met potentieel zeer gevoelige informatie – zo slordig met je gegevens omspringen, is dan ook ronduit schokkend. De Autoriteit Persoonsgegevens moet ingrijpen.'

In een reactie laat de Autoriteit Persoonsgegevens weten op korte termijn zelf een onderzoek te starten naar de naleving van privacyregels op websites.

Alles bij de bron; ConsBond


 

Vorige week kwam in het nieuws dat Jeugdzorg Utrecht zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken.

Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3.200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD).

Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren. Dat dat nog moeilijk genoeg is, zie ik dagelijks bij zorginstellingen. Je kunt zo’n centraal EPD/ECD beveiligen tegen nieuwsgierigen of mensen met kwade bedoelingen van binnen of buiten de organisatie. Je kunt zorgen dat je bewaartermijnen handhaaft. Dat er een reservesysteem beschikbaar is op het moment dat het primaire systeem uitvalt. Je kunt erop toezien dat je vastlegt wat nodig en toegestaan is - en niet meer dan dat.

Vooral kun je zorgen dat zorgverleners de juiste, volledige en actuele informatie op het juiste moment op de juiste plaats beschikbaar hebben. Want laten we vooral niet vergeten dat informatie onmisbaar is voor het verlenen van goede zorg. 

Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?

...Het gaat om de bestuursagenda. En dus beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is? Maar hoe zit het met de privacy en informatiebeveiliging?

Alles bij de bron; Volkskrant


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha