Autoriteit Persoonsgegevens krijgt meer meldingen van gemeentelijke datalekken

De Autoriteit Persoonsgegevens lijkt dit jaar meer meldingen te krijgen van datalekken bij Nederlandse gemeenten dan vorig jaar. Dat meldt tv-programma Nieuwsuur. Het ging in de eerste drie maanden van dit jaar om 331 meldingen.

In heel 2016 ging het om 533 meldingen, zegt Nieuwsuur. Als deze trend doorzet, komt het aantal meldingen dit jaar ver boven de 1000 uit. Het is onbekend of dat komt doordat er meer datalekken zijn of dat het bekender is dat datalekken kunnen worden gemeld bij de Autoriteit Persoonsgegevens.

In veel gevallen gaat het om menselijke fout: 41 procent van de 331 meldingen ging over verkeerd ontvangen gegevens. Zoekgeraakte usb-sticks, smartphones en tablets waren goed voor 10 procent van de meldingen en slechts bij 5 procent van de datalekken ging het om hacken of malware.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 10-05-2017 18:29
20 • submitter: hEgelia

10-05-2017 • 18:29

20

Submitter: hEgelia

Lees meer

Privacywaakhond: aantal hacks gericht op persoonsgegevens groeide met 30 procent
Privacywaakhond: aantal hacks gericht op persoonsgegevens groeide met 30 procent Nieuws van 1 maart 2021
'Aantal datalekken bij overheden in eerste half jaar al hoger dan in heel 2016'
'Aantal datalekken bij overheden in eerste half jaar al hoger dan in heel 2016' Nieuws van 27 september 2017
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker Nieuws van 29 augustus 2017
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS Nieuws van 19 juni 2017
Autoriteit Persoonsgegevens waarschuwt voor hogere boetes en strenger beleid
Autoriteit Persoonsgegevens waarschuwt voor hogere boetes en strenger beleid Nieuws van 12 juni 2017
'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoonsgegevens'
'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoonsgegevens' Nieuws van 2 juni 2017
Google verwijdert vaak alsnog zoekresultaten na weigering Nederlandse verzoeken
Google verwijdert vaak alsnog zoekresultaten na weigering Nederlandse verzoeken Nieuws van 12 mei 2017
NCSC haalt tool tijdelijk offline door aanwezigheid persoonsgegevens
NCSC haalt tool tijdelijk offline door aanwezigheid persoonsgegevens Nieuws van 28 april 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
Meer producten en artikelen
Privacy Netwerk en systeembeheer Nederland

Reacties (20)

-Moderatie-faq
20
19
13
1
1
6
Wijzig sortering

Sorteer op:

Weergave:
TheDudez 10 mei 2017 18:33
Als een USB stick is verloren die encrypted is telt het dan ook mee?
Lagonas @TheDudez10 mei 2017 18:38
Dit heb ik uit een pdf die op webwereld is gepubliceerd:

"De definitie van een datalek waarvoor de
meldplicht geldt, is helaas wat onduidelijk
aangegeven en op meerdere manieren te
interpreteren. Het staat geformuleerd als
een inbreuk op de beveiliging, waarbij een
aanmerkelijke kans bestaat op nadelige
gevolgen voor betrokkenen. Dit betekent dat elk
beveiligingsincident waarbij persoonsgegevens
misbruikt kunnen worden, in potentie een
datalek is dat gemeld moet worden.

Denk aan een hack, een medewerker die per
ongeluk of door social engineering gevoelige
data naar buiten stuurt, of iemand die al
dan niet tegen betaling opzettelijk data naar
buiten brengt. Denk ook aan verlies van een
laptop, tablet, smartphone, usb-stick of andere
gegevensdrager met daarop niet-encrypted data.
Er hoeft niet eens misbruik van de gegevens
gemaakt te worden. Alleen al het feit dat er een
inbreuk is, is voldoende om het te kwalificeren
als een datalek waarvoor de meldplicht geldt."
TheDudez @Lagonas10 mei 2017 18:51
Dus nee. Maar een oude iPhone waarschijnlijk wel ook al is die encrypted.
mmjjb @TheDudez11 mei 2017 11:46
Nouja dat hangt van de interpretatie af.

Als de medewerker die de iphone verliest 100% zeker is dat de telefoon encrypted is en een sterk wachtwoord heeft ingesteld, en de telefoon bijvoorbeeld in een bedrijfs policy hangt, dan kun je zeggen dat het gewaarborgd is dat er geen gegevens gelekt zijn.

Echter, als de medewerker twijfelt over de sterkte van haar wachtwoord, of als er ergens enig spoor van twijfel is, dan kan dit inderdaad het beste gemeld worden.

Eigenlijk is de basis regel, bij twijfel, melden.
densoN @Lagonas11 mei 2017 13:50
Het bijzondere is dat de Autoriteit Persoonsgegevens ook van een datalek spreekt wanneer persoonsgegevens onherstelbaar verloren gaan (ongeacht of deze data is versleuteld). Er hoeft dus niet altijd te sprake zijn van 'misbruik'.
Johan9711 @TheDudez10 mei 2017 18:44
Ja. Alles wat ook maar een kleine kans heeft om data te lekken word gemeld.
CAPSLOCK2000
@Johan971110 mei 2017 19:00
Wat voor een kans op lekken heeft een fatsoenlijk versleutelde USB stok? Volgens mij geen enkele realistische kans. Ja, in theorie is het mogelijk, maar voor "gewone" geheime data is dat te onwaarschijnlijk om er rekening mee te houden.
densoN @CAPSLOCK200011 mei 2017 13:52
Heel simpel, op het moment dat jij een versleutelde USB stok mount en decrypt om de data te kunnen lezen ben je o.a. kwetsbaar voor malware en voornamelijk ransomware.

Sterker nog, als jouw stick met persoonsgegevens wordt versleuteld door ransomware en jij niet met zekerheid kunt uitsluiten dat een kopie inmiddels ergens op een server in polen staat is er ook sprake van een datalek. En het uitsluiten is moeilijk omdat je bij veel ransomware ook ziet dat een malicious file content binnen haalt en upload (o.a. private keys van je data), maar jij niet makkelijk op een later moment kan aantonen wat er is geupload.

[Reactie gewijzigd door densoN op 23 juli 2024 00:50]

CAPSLOCK2000
@densoN11 mei 2017 14:03
Je mist de hele context. We hadden het over situaties waarin je zo'n ding verliest.

Op het moment dat je het ding mount en of decrypt heb je inderdaad niks aan die encryptie maar dat is niet de situatie waar we het over hadden.
Blokker_1999
@Johan971110 mei 2017 19:12
Als we er van uit kunnen gaan dat de data niet misbruikt zal worden dan is er geen meldplicht. Met afdoende encryptie moet het dus niet. Toch zal het steeds vaker wel gemeld worden, gewoon uit voorzorg.
tom.cx @TheDudez10 mei 2017 18:36
Volgens mij wel. Ondanks dat de kans klein is dat er wat mee gedaan kan worden.
TheDudez @tom.cx11 mei 2017 07:54
Ik werk bij een gemeente en ik weet zeker dat een hoop niet gemeld wordt als iets encrypted is. Dus vandaar ook mijn vraag. Er wordt wel een melding gedaan maar die gaat vaak niet Autoriteit Persoonsgegevens als iets encrypted is.

[Reactie gewijzigd door TheDudez op 23 juli 2024 00:50]

The Lord @TheDudez10 mei 2017 23:08
Dat hangt er maar net vanaf. Dit nog even los van de vraag of het meldingsplichtig zal zijn naar de betrokkene (waar impliciet aan gerefereerd wordt in andere reacties op je vraag).

Zelfs als een opslagmedium 'adequaat' beveiligd is kan er een meldingsplicht zijn. Bijvoorbeeld indien het originele gegevens betreft (als in 'er is geen kopie meer van') waarbij er door het verlies van de gegevens een aanmerkelijke kans bestaat op nadelige gevolgen voor betrokkenen.

Daarnaast is die adequate beveiliging erg interessant. Encryptie an sich betekent niets; meerdere keren heb ik een beveiligde USB stick voorbij zien komen 'die lekker betaalbaar was', maar waar de gekozen encryptie van het type prut was, hashes makkelijk te misbruiken waren of er geen enkele vorm van software/hardware hardening aanwezig was. Dit resulterend in een bruikbaar wachtwoord kunnen herleiden binnen een aantal seconden tot minuten; als het al fysiek echt nodig was.

Was dit wel op orde dan was er wel weer sprake van slecht sleutelbeheer, waardoor de gekozen oplossing nog steeds niet adequaat was te noemen.
HvanL 10 mei 2017 18:37
Komt vooral omdat er nu gedreigd wordt met boete wegens niet melden, was vorig jaar nog niet zo
densoN @HvanL11 mei 2017 13:58
Er werd altijd al gedreigd met boete's, echter is de boetebevoegdheid enorm toegenomen waardoor het wat meer afschrikt. Een Google maak je niet bang met een boete van 4000 euro. Vanaf mei 2018 kunnen toezichthouders zelfs boetes opleggen tot 4% van je wereldwijde omzet. Dan wordt het een ander verhaal.
_Zedd_ 10 mei 2017 18:40
Melden is stap een - een goede zaak als dit structureel wordt gedaan in plaats van vergeten of onder de mat geschoven. Maar maatregelen nemen, structureel invoeren en nadien opvolgen zijn de noodzakelijke vervolgstappen.

Is er ook een trend bekend? Neemt niet alleen het aantal meldingen toe maar is ook bekend of bepaalde problemen toe-/afnemen? Immers "Gegevens verstuurd naar verkeerde" is een kwalijke zaak maar als dit al jaren structureel voorkomt dan zijn de maatregelen tegen dit soort problemen niet (juist) ingevoerd.
Je mag verwachten dat "gegevens op niet versleutelde drager" na alle recente incidenten een afnemende trend zal laten zien.

[Reactie gewijzigd door _Zedd_ op 23 juli 2024 00:50]

CAPSLOCK2000
10 mei 2017 19:07
1000 meldingen op een jaar vind ik eigenlijk reuze meevallen. We hebben bijna 400 gemeentjes in Nederland. Het komt dus neer op twee a drie meldingen per gemeente per jaar. In de organisatie waar ik werk (geen gemeente) worden er dagelijks verloren USB-sticks naar de bewaking gebracht.
Nu zijn de meesten daarvan geen datalek, in ieder geval niet in de ogen van de wet, maar een deel moet haast wel gevoelige data bevatten.
Nu zou het kunnen dat gemeentemedewerkers geen gevoelige data mee naar huis nemen of dat ze die altijd goed versleutelen, maar dat geloof ik eigenlijk niet. Ik heb namelijk nog nooit een organisatie gezien waar het echt goed geregeld was en alle personeel daar ook goed mee om kon gaan.

Dat het zo sterk gegroeid is suggereert ook dat we nog lang niet alles gezien hebben, waarschijnlijk groeit het aantal meldingen nog wel even door. Veel mensen weten nu waarschijnlijk niet eens dat zie iets moeten melden.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 00:50]

Basszje @CAPSLOCK200010 mei 2017 23:29
Het ene lek is het andere ook niet. Er zit nogal een verschil tussen een afschrift bij oud papier of een lekke database met alle gegevens van inwoners natuurlijk. Dat zal ook een afweging moeten worden in hoe goed de beveiliging is.

Sowieso is het goed om iedereen scherp te houden, ook op de kleine dingetjes.
mutley69 10 mei 2017 22:26
De realiteit qua datalekken is nog veel halucinanter dan hierboven beschreven - dat zijn de gekende gevallen die geregistreerd zijn. Het tapijt bevat nog meer stof erin en eronder... 8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq