Databeveiliging & Dataverlies

Vraag 1; Kunt u bevestigen dat dat door een fout van Bureau Jeugdzorg Utrecht in totaal 3278 dossiers van 2702 kinderen zijn gelekt?

Datalekken zoals deze laten zien dat aandacht voor informatieveiligheid in de zorgsector steeds belangrijker wordt. Het datalek bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig Midden-Nederland in beheer. Naar nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt...

Vraag 3; Is het gebruikelijk dat binnen de jeugdzorg dossiers van patiënten onbeveiligd en geautomatiseerd doorgestuurd worden naar e-mailadressen van werknemers? 

Vraag 4; Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?

Antwoord op vraag 3 en 4; Ik deel de mening dat alle zorginstellingen passende maatregelen moeten nemen om patiëntdossiers en communicatie over patiënten maximaal te beveiligen. Ze moeten zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan om datalekken zoals deze te voorkomen maar ook om weerbaar te zijn tegen bijvoorbeeld cyberaanvallen. Daarbij hoort onder anderen het gebruik van beveiligde e-mail voor het uitwisselen van persoonsgegevens. Alle zorg- en jeugdhulpinstellingen zouden daarom gebruik moeten maken van beveiligde e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt...

Vraag 7; Wat is uw reactie op de bewering van de klokkenluiders dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen?

Antwoord op vraag 7; Het Computer Emergency Response Team voor de Zorg (Z-CERT) meldt mij dat er inderdaad domeinnamen circuleren die eerder door zorginstellingen zijn gebruikt en daarna zijn vrijgegeven. Op mijn verzoek heeft Z-CERT deze domeinnamen zelf geregistreerd zodat deze niet meer voor anderen beschikbaar zijn.

Alles bij de bron; RijksOverheid


 

Symantec onderzocht de websites van ruim vijftienhonderd hotels in 54 landen. In 67 procent van de gevallen lekten reserveringsgegevens via derden uit. Onder de gelekte informatie zijn persoonlijke gegevens zoals volledige namen, e-mailadressen, creditcardinformatie en paspoortnummers.

Gegevens lekken vaak uit, omdat hotels bevestigingsmails verzenden met een link naar de reserveringsinformatie. Een doorverwijscode die is gekoppeld aan de link, kan met meerdere bedrijven worden gedeeld, waaronder sociale netwerken, adverteerders en zoekmachines. Omdat de links vaak niet zijn beveiligd, kunnen ze vrij gemakkelijk onderschept worden. Om toegang tot de gegevens te krijgen, is ook geen login nodig.

In november kwam een datalek bij hotelketen Marriot aan het licht. Daarbij hadden hackers toegang gekregen tot klantgegevens bij zo'n 383 miljoen hotelreserveringen daarbij zijn ruim 25 miljoen paspoortnummers uit de database gestolen. Daarvan werden er ruim vijf miljoen onversleuteld bewaard. 

Alles bij de bron; NU


 

Uiterst gevoelige persoonsgegevens van duizenden jongeren zijn door een fout bij de Utrechtse jeugdzorginstelling Samen Veilig Midden-Nederland uitgelekt. Hun dossiers belandden bij twee klokkenluiders. Zij lichtten RTL Nieuws in, dat woensdag over de zaak bericht. Volgens RTL Nieuws zijn er bijna 3.300 dossiers bij de klokkenluiders beland, van 2.700 cliënten. Driekwart van hen is jonger dan achttien. 

In de dossiers gaat het onder meer over psychische stoornissen en problemen met zaken als school, drugs en porno. In alle dossiers staan volledige namen en geboortedata, schrijft RTL Nieuws.

De instelling geeft het datalek toe en ook de Autoriteit Persoonsgegevens (AP) is ervan op de hoogte. De instelling kijkt nu of achterhaald kan worden van welke cliënten de dossiers zijn gelekt. Als dat lukt, zullen zij door de instelling worden benaderd, aldus de woordvoerder. 

Alles bij de bron; NRC


Een grote hoeveelheid gebruikersgegevens van Facebook is aangetroffen op cloudservers van Amazon. De ontdekking door UpGuard laat volgens onderzoekers van dat cyberbeveiligingsbedrijf zien dat de bescherming van data bij Facebook circa een jaar na het Cambridge Analytica-schandaal nog altijd niet op orde is.

“Er wordt niet genoeg aandacht besteed aan de beveiligingskant van big data”, zegt directeur cyberrisicobeheer Chris Vickery van UpGuard. In één geval had het Mexicaanse mediabedrijf Cultura Colectiva 540 miljoen documenten met gegevens over Facebookgebruikers, waaronder identificatienummers, reacties en gebruikersnamen, publiekelijk opgeslagen. 

Alles bij de bron; HLN


 

De Indiase overheid heeft door een onbeveiligde database de medische en persoonlijke data van miljoenen zwangere vrouwen gelekt. Het ging om een MongoDB-database die voor iedereen op internet toegankelijk was.

Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data. Dit keer trof beveiligingsonderzoeker Bob Diachenko een database aan met gegevens van patiënten, artsen en kinderen, alsmede beheerderswachtwoorden. De informatie was verzameld als onderdeel van de Indiase Pre-Conception and Pre-Natal Diagnostic Techniques (PCPNDT) wetgeving. Deze wetgeving moet abortussen van meisjes tegengaan.

De database bevatte verschillende formulieren die zwangere vrouwen in India verplicht moeten invullen. Het ging onder andere om de leeftijd van de vrouw, of er genetische aandoeningen in de familie voorkomen, details van de zwangerschap en andere gevoelige gegevens. In totaal trof Diachenko 7,4 miljoen formulieren aan.

Tevens vond de onderzoeker nog miljoenen anonieme klachten, gegevens van rechtszaken en informatie over kinderen, zoals geslacht, leeftijd en status. Het total aantal gelekte records bedroeg daardoor meer dan 12,5 miljoen.

Alles bij de bron; Security


 

Veel moderne auto's, waaronder die van Tesla, slaan privédata op, variërend van telefooninformatie tot camerabeelden. Dergelijke informatie wordt niet automatisch verwijderd na een crash of doorverkoop, omdat onderzoekers die mogelijk nodig kunnen hebben.

Volgens de hackers, die volgens CNBC anoniem willen blijven, wordt de data op Tesla's niet versleuteld. Het is dus gemakkelijk voor mensen met de juiste technische kennis om privédata te bemachtigen uit een Tesla, inclusief zaken die door de camera's van de auto is opgenomen. Ze moeten alleen de computer aan boord van de auto in handen krijgen.

De hackers bemachtigden succesvol de informatie van zeventien verschillende mobiele apparaten die gelinkt waren geweest aan de Tesla, waaronder contactlijsten met telefoonnummers. Ook vonden ze persoonlijke kalenders, de locaties van zo'n 73 plekken waar de Tesla was geweest, en de video die door de auto was opgenomen tijdens de crash.

In een reactie aan CNBC wijst Tesla er op dat Tesla-eigenaren al de mogelijkheid hebben om alle data op hun auto te wissen. 

Alles bij de bron; NU


 

In Amerika zijn meer dan 2,3 miljoen overlevenden van verschillende orkanen en natuurbranden het slachtoffer van een datalek geworden nadat de federale Amerikaanse rampenbestrijdingsdienst FEMA hun persoonsgegevens met een leverancier deelde, veel meer dan wettelijk was toegestaan. Het ging onder andere om adresgegevens en financiële informatie.

Daardoor hebben deze mensen een verhoogd risico op identiteitsdiefstal en fraude, zo blijkt uit onderzoek van het Office of Inspector General (OIG) van het Amerikaanse ministerie van Binnenlandse Veiligheid (pdf). 

FEMA laat in een reactie weten dat het inmiddels is gestopt met het delen van onnodige gegevens en er een inspectie van de systemen van de leverancier heeft plaatsgevonden. De overheidsinstantie heeft daarnaast met de leverancier samengewerkt om de onnodige gegevens van de systemen te verwijderen. 

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha