×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens krijgt meer meldingen van gemeentelijke datalekken

Door , 20 reacties, submitter: hEgelia

De Autoriteit Persoonsgegevens lijkt dit jaar meer meldingen te krijgen van datalekken bij Nederlandse gemeenten dan vorig jaar. Dat meldt tv-programma Nieuwsuur. Het ging in de eerste drie maanden van dit jaar om 331 meldingen.

In heel 2016 ging het om 533 meldingen, zegt Nieuwsuur. Als deze trend doorzet, komt het aantal meldingen dit jaar ver boven de 1000 uit. Het is onbekend of dat komt doordat er meer datalekken zijn of dat het bekender is dat datalekken kunnen worden gemeld bij de Autoriteit Persoonsgegevens.

In veel gevallen gaat het om menselijke fout: 41 procent van de 331 meldingen ging over verkeerd ontvangen gegevens. Zoekgeraakte usb-sticks, smartphones en tablets waren goed voor 10 procent van de meldingen en slechts bij 5 procent van de datalekken ging het om hacken of malware.

Door Arnoud Wokke

Redacteur mobile

10-05-2017 • 18:29

20 Linkedin Google+

Submitter: hEgelia

Reacties (20)

Wijzig sortering
Als een USB stick is verloren die encrypted is telt het dan ook mee?
Dit heb ik uit een pdf die op webwereld is gepubliceerd:

"De definitie van een datalek waarvoor de
meldplicht geldt, is helaas wat onduidelijk
aangegeven en op meerdere manieren te
interpreteren. Het staat geformuleerd als
een inbreuk op de beveiliging, waarbij een
aanmerkelijke kans bestaat op nadelige
gevolgen voor betrokkenen. Dit betekent dat elk
beveiligingsincident waarbij persoonsgegevens
misbruikt kunnen worden, in potentie een
datalek is dat gemeld moet worden.

Denk aan een hack, een medewerker die per
ongeluk of door social engineering gevoelige
data naar buiten stuurt, of iemand die al
dan niet tegen betaling opzettelijk data naar
buiten brengt. Denk ook aan verlies van een
laptop, tablet, smartphone, usb-stick of andere
gegevensdrager met daarop niet-encrypted data.
Er hoeft niet eens misbruik van de gegevens
gemaakt te worden. Alleen al het feit dat er een
inbreuk is, is voldoende om het te kwalificeren
als een datalek waarvoor de meldplicht geldt."
Dus nee. Maar een oude iPhone waarschijnlijk wel ook al is die encrypted.
Nouja dat hangt van de interpretatie af.

Als de medewerker die de iphone verliest 100% zeker is dat de telefoon encrypted is en een sterk wachtwoord heeft ingesteld, en de telefoon bijvoorbeeld in een bedrijfs policy hangt, dan kun je zeggen dat het gewaarborgd is dat er geen gegevens gelekt zijn.

Echter, als de medewerker twijfelt over de sterkte van haar wachtwoord, of als er ergens enig spoor van twijfel is, dan kan dit inderdaad het beste gemeld worden.

Eigenlijk is de basis regel, bij twijfel, melden.
Het bijzondere is dat de Autoriteit Persoonsgegevens ook van een datalek spreekt wanneer persoonsgegevens onherstelbaar verloren gaan (ongeacht of deze data is versleuteld). Er hoeft dus niet altijd te sprake zijn van 'misbruik'.
Ja. Alles wat ook maar een kleine kans heeft om data te lekken word gemeld.
Wat voor een kans op lekken heeft een fatsoenlijk versleutelde USB stok? Volgens mij geen enkele realistische kans. Ja, in theorie is het mogelijk, maar voor "gewone" geheime data is dat te onwaarschijnlijk om er rekening mee te houden.
Heel simpel, op het moment dat jij een versleutelde USB stok mount en decrypt om de data te kunnen lezen ben je o.a. kwetsbaar voor malware en voornamelijk ransomware.

Sterker nog, als jouw stick met persoonsgegevens wordt versleuteld door ransomware en jij niet met zekerheid kunt uitsluiten dat een kopie inmiddels ergens op een server in polen staat is er ook sprake van een datalek. En het uitsluiten is moeilijk omdat je bij veel ransomware ook ziet dat een malicious file content binnen haalt en upload (o.a. private keys van je data), maar jij niet makkelijk op een later moment kan aantonen wat er is geupload.

[Reactie gewijzigd door densoN op 11 mei 2017 13:56]

Je mist de hele context. We hadden het over situaties waarin je zo'n ding verliest.

Op het moment dat je het ding mount en of decrypt heb je inderdaad niks aan die encryptie maar dat is niet de situatie waar we het over hadden.
Als we er van uit kunnen gaan dat de data niet misbruikt zal worden dan is er geen meldplicht. Met afdoende encryptie moet het dus niet. Toch zal het steeds vaker wel gemeld worden, gewoon uit voorzorg.
Volgens mij wel. Ondanks dat de kans klein is dat er wat mee gedaan kan worden.
Ik werk bij een gemeente en ik weet zeker dat een hoop niet gemeld wordt als iets encrypted is. Dus vandaar ook mijn vraag. Er wordt wel een melding gedaan maar die gaat vaak niet Autoriteit Persoonsgegevens als iets encrypted is.

[Reactie gewijzigd door TheDudez op 11 mei 2017 07:57]

Dat hangt er maar net vanaf. Dit nog even los van de vraag of het meldingsplichtig zal zijn naar de betrokkene (waar impliciet aan gerefereerd wordt in andere reacties op je vraag).

Zelfs als een opslagmedium 'adequaat' beveiligd is kan er een meldingsplicht zijn. Bijvoorbeeld indien het originele gegevens betreft (als in 'er is geen kopie meer van') waarbij er door het verlies van de gegevens een aanmerkelijke kans bestaat op nadelige gevolgen voor betrokkenen.

Daarnaast is die adequate beveiliging erg interessant. Encryptie an sich betekent niets; meerdere keren heb ik een beveiligde USB stick voorbij zien komen 'die lekker betaalbaar was', maar waar de gekozen encryptie van het type prut was, hashes makkelijk te misbruiken waren of er geen enkele vorm van software/hardware hardening aanwezig was. Dit resulterend in een bruikbaar wachtwoord kunnen herleiden binnen een aantal seconden tot minuten; als het al fysiek echt nodig was.

Was dit wel op orde dan was er wel weer sprake van slecht sleutelbeheer, waardoor de gekozen oplossing nog steeds niet adequaat was te noemen.
Komt vooral omdat er nu gedreigd wordt met boete wegens niet melden, was vorig jaar nog niet zo
Er werd altijd al gedreigd met boete's, echter is de boetebevoegdheid enorm toegenomen waardoor het wat meer afschrikt. Een Google maak je niet bang met een boete van 4000 euro. Vanaf mei 2018 kunnen toezichthouders zelfs boetes opleggen tot 4% van je wereldwijde omzet. Dan wordt het een ander verhaal.
Melden is stap een - een goede zaak als dit structureel wordt gedaan in plaats van vergeten of onder de mat geschoven. Maar maatregelen nemen, structureel invoeren en nadien opvolgen zijn de noodzakelijke vervolgstappen.

Is er ook een trend bekend? Neemt niet alleen het aantal meldingen toe maar is ook bekend of bepaalde problemen toe-/afnemen? Immers "Gegevens verstuurd naar verkeerde" is een kwalijke zaak maar als dit al jaren structureel voorkomt dan zijn de maatregelen tegen dit soort problemen niet (juist) ingevoerd.
Je mag verwachten dat "gegevens op niet versleutelde drager" na alle recente incidenten een afnemende trend zal laten zien.

[Reactie gewijzigd door _Zedd_ op 10 mei 2017 18:42]

1000 meldingen op een jaar vind ik eigenlijk reuze meevallen. We hebben bijna 400 gemeentjes in Nederland. Het komt dus neer op twee a drie meldingen per gemeente per jaar. In de organisatie waar ik werk (geen gemeente) worden er dagelijks verloren USB-sticks naar de bewaking gebracht.
Nu zijn de meesten daarvan geen datalek, in ieder geval niet in de ogen van de wet, maar een deel moet haast wel gevoelige data bevatten.
Nu zou het kunnen dat gemeentemedewerkers geen gevoelige data mee naar huis nemen of dat ze die altijd goed versleutelen, maar dat geloof ik eigenlijk niet. Ik heb namelijk nog nooit een organisatie gezien waar het echt goed geregeld was en alle personeel daar ook goed mee om kon gaan.

Dat het zo sterk gegroeid is suggereert ook dat we nog lang niet alles gezien hebben, waarschijnlijk groeit het aantal meldingen nog wel even door. Veel mensen weten nu waarschijnlijk niet eens dat zie iets moeten melden.

[Reactie gewijzigd door CAPSLOCK2000 op 10 mei 2017 19:08]

Het ene lek is het andere ook niet. Er zit nogal een verschil tussen een afschrift bij oud papier of een lekke database met alle gegevens van inwoners natuurlijk. Dat zal ook een afweging moeten worden in hoe goed de beveiliging is.

Sowieso is het goed om iedereen scherp te houden, ook op de kleine dingetjes.
De realiteit qua datalekken is nog veel halucinanter dan hierboven beschreven - dat zijn de gekende gevallen die geregistreerd zijn. Het tapijt bevat nog meer stof erin en eronder... 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*