Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018

De Autoriteit Persoonsgegevens heeft in 2018 in totaal 20.881 meldingen van datalekken binnengekregen. Dat is volgens de toezichthouder meer dan een verdubbeling ten opzichte van het jaar daarvoor. In 2016 ging het nog om 5500 meldingen.

Bijna een derde van de datalekken vond plaats in de gezondheidszorg. Die was goed voor 29 procent van de meldingen, gevolgd door de financiële dienstverlening en het openbaar bestuur met respectievelijk 26 en 17 procent. De AP stelt zelf dat dit aantal haar verwachtingen heeft overtroffen en dat het daarom de capaciteit uitbreidt. "Deze acties kunnen leiden tot meer handhavende maatregelen", stelt de autoriteit.

Mogelijk komt de stijging in meldingen door de extra aandacht die de AVG genereert, stelt de AP in zijn rapportage. Die wet ging op 25 mei van het afgelopen jaar in, maar de meldplicht voor datalekken geldt in Nederland sinds 2016. Die twee wetten zijn op het gebied van deze meldplicht grotendeels hetzelfde. Met ingang van 25 mei 2018 zijn de boetes voor datalekken wel hoger.

Die handhavende maatregelen komen veelal neer op voorlichting in de vorm van brieven, gesprekken, waarschuwingen, maar het kunnen ook boetes zijn. Over de genomen maatregelen wijdt de AP niet uit, maar het herhaalt wel de grootste van het jaar: de boete aan Uber van 600.000 euro. Dit was voor een datalek waarbij 174.000 Nederlandse chauffeurs en klanten betrokken waren. Verder stelt het dat "over het algemeen de overtreding daarna beëindigt". Bekend is dat in 2016 en 2017 geen boetes zijn uitgedeeld.

Door Mark Hendrikman

Nieuwsposter

29-01-2019 • 16:05

21 Linkedin Google+

Reacties (21)

Wijzig sortering
Met zoveel lekken is het bijna noemenswaardig als je gegevens nog niet op straat liggen.
Zijn er ook statistieken over hoeveel personen er zijn getroffen door deze datalekken?
Ja, staat op pagina 6 van het rapport, zie link hierboven.

"In de ruime meerderheid van de gevallen, namelijk 58%, raakt het datalek 1 persoon. Het gaat in deze
gevallen veelal (77%) om het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger.
In mindere mate (3%) treft het datalek een zeer groot aantal betrokkenen. Datalekken die 5.000 of meer
personen raken, worden vaak veroorzaakt door hacking, malware en/of phishing.
"
Wat ik toch vooral eens wil weten is:

Hoe groot is nu eigenlijk de kans dat een willekeurig Nederlander slachtoffer wordt van identiteits-criminaliteit (criminele nalatigheid / menselijk falen waar de proces-organisatie ernstig te verwijten valt) door het soort toezicht & 'handhaving' dat anno nu éénentwintig duizend meldingen in één jaar krijgt en in het verleden kennelijk zó effectief gebleken is dat ze wel twee jaren, aanéén, geen enkele boete besloot uit te delen.

21.000 x 0,58 = 12.180 personen
21.000 x 0,03 = 630 maal 'veel' personen. Gaan we uit van die 5.000+ dan zijn het er zo al 3,15 miljoen extra.
En dat laat buiten beschouwing de platforms als facebook en dergelijke waar het al snel gaat om 500.000 personen in plaats van die 5.000 (per stuk van die 630 stuks incidenten met 'veel' slachtoffers).
Ook nog buiten beschouwing blijven dan de gevallen waar het gaat tussen 1+ en 5.000(of meer); dus die 42-3=39 procent.

Al-met-al dus -minimaal- zo'n 3 miljoen burger-slachtoffers per jaar. Als je dat nou vergelijkt met onze zendingen naar landen ver weg waar we vaak voor veelvouden van het budget van dit binnenlands toezicht bijzonder ineffectief komen zijn :?

Als we uitgaan van zo'n 12 miljoen burgers die digitaal kwetsbaar zijn dan duurt het bij minimale spreiding maximaal ~ drie en een half jaar voor iedere willekeurige burger -ja, jij ook- slachtoffer wordt van de AP die niet afdoende functioneert.

PS: Dit is niet bedoeld als rant op de AP; opvolgende regeringen hebben eenvoudigweg de capaciteit van dit soort ZBO's afgebroken door budgetten die bewust NIET afdoende zouden zijn voor uitvoering van de wettelijke verantwoordelijkheid. Tot ver -zoals we alweer zien- voorbij het punt van ordinair falen. ( À 'We hebben het niet geweten')

BRON daarbij: "Eigenlijk is het CBP al vanaf het ontstaan een organisatie geweest die “undermanned and understaffed” is."
Uit diezelfde bron (bijna 2016) [zorgictzorgen.nl/onderbezetting-toezichthouder-privacycbp-is-politieke-keuze/]

"Jacob Kohnstamm (dan voorzitter van het College Bescherming Persoonsgegevens(CBP)) werd geïnterviewd vanwege de naamsverandering van het CBP per 1 januari 2016. Het College Bescherming Persoonsgegevens gaat dan Autoriteit Persoonsgegevens heten."
Desondanks moet Kohnstamm na verzoeken om uitbreiding van formatieplaatsen constateren dat er geen budget voor uitbreiding komt
Met de huidige bezetting kan het CBP maar 15 tot 20 grote zaken per jaar aan.
Statistieken zijn waardeloos als de berekenmethode of de waarde niet bekend is.

Het AP stelt een cryptovirus of een delete-virus, ook als een datalek terwijl het er dan helemaal niet om het lekken van data gaat (maar wel een ander probleem).
En een lek staat los van het feit of er persoonsgegevens gelekt is, een datalek (of dus cryptovirus) zonder persoonsgegevens moet ook gemeld worden en is dus waarschijnlijk hier in opgenomen.

[Reactie gewijzigd door Bender op 29 januari 2019 16:28]

Bekend is... en getoetst is. Het is vandaag de dag net iets te makkelijk om met conflicterende belangen statistieken en onderzoeksresultaten te publiceren (alleen online als het moet) en dat dit zonder enige toetsing voor waar genomen wordt.
Of je leest het uitgebreide rapport waar alles verantwoord is.
Een cryptovirus of deletevirus is ook een datalek, een ongeautoriseerd persoon/systeem kan bij privacy gevoelige informatie. Als dit kan kan een ander software pakket dit ook en moet het ook gemeld worden.
Een datalek is ook een datalek wanneer er geen misbruik gemaakt van is maar het wel zo had kunnen zijn.
Bij een cryptolocker hoeft de aanvaller niet perse toegang te hebben tot deze gegevens, toch is het inderdaad een datalek. Of zoals het AP zegt:
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Statistieken zijn waardeloos als de berekenmethode of de waarde niet bekend is.
Op Tweakers staat alleen de verkorte versie, als je de hele wilt zien met alle verantwoordingen kan je die gewoon even opvragen en zijn al je vragen beantwoord. Denk je nu echt dat de AP geen rapport kan maken?
Het AP stelt een cryptovirus of een delete-virus, ook als een datalek terwijl het er dan helemaal niet om het lekken van data gaat (maar wel een ander probleem).
Bij gegevens die versleuteld worden kun jij niet garanderen dat de data na ontsleuteling nog dezelfde is. De gegevens kunnen onderhuids gewijzigd zijn voordat ze versleuteld zijn. Er kunnen ook ordinair enkele essentiele stukjes data verwijderd zijn.

Dat is gewoon een data lek.

Of ga je vertellen dat jij het OK vindt als er niets gemeld wordt wanneer mensen mogelijk in medische gegevens hebben lopen klooien en geregistreerde bloedgroepen aan hebben gepast of heftige allergische reacties op bepaalde medicatie hebben weggehaald?
En hoeveel zijn er nog niet gemeld, ondanks dat dat wel zou moeten. Als je al een tapfout in een mailadres maakt en geen NDR terugkrijgt is het al een lek...

Of dat je mensen in de CC zet in plaats van de BCC, waarbij iedereen dus de mailadressen van iedereen kan zien. Da's ook een lek. Moet dus ook gemeld worden.
Nee dat hoeft niet gemeld te worden aan de AP. Dat ligt o.a.aan de proportionaliteit van het lek en de te nemen maatregelen. In zo'n geval zou je puur theoretisch wel de bevinding moeten melden aan de DPO/Privacy Officer en die moet dan zijn beweegredenen uiteenzetten waarom er al dan niet een melding gemaakt van dient te worden.
Ja maar sportclubjes hebben dat doorgaans niet ;) En als mail intern blijft is het niet zo'n punt, maar extern wél.

[Reactie gewijzigd door DigitalExcorcist op 29 januari 2019 16:37]

Maar dan is het nog geen meldenswaardig datalek.

Natuurlijk mag jij als je zelf een dergelijke fout maakt dat zelf melden. Dan krijg je een prima antwoord en hebben we weer wat geld verspild met zijn alle.
Heel simpel: https://www.rendement.nl/...eldt-ook-als-datalek.html

E-mailadressen zijn persoonsgegevens. Lek je die, dan meld je die. Punt.

[Reactie gewijzigd door DigitalExcorcist op 29 januari 2019 18:04]

Hm maar hoe zit het dan als die mensen jou, elkaar en/of het onderwerp kennen, ook al zijn ze extern? Volgens mij is het ook weer niet zo strikt. Zeker iig afspraakuitnodiging na een eerste overleg, is het ergens raar dat je elkaar niet kent en dus dat mailadressen in AAN of CC niet mag.

Heb je gewoon een bulkmail die aan grote groepen mensen gericht is, ja dan kan ik begrijpen dat dit beter via BCC is. Daarmee vang je direct af dat mensen niet "allen beantwoorden" doen, wat al snel storend is bij een grote groep en meestal niet heel handig.

Een praktijkvoorbeeld zou het volgende kunnen zijn. Iemand stuurt in het algemeen een email, bijv omdat hij weggaat bij het bedrijf. Dit doet hij via AAN of CC, omdat iedereen het mag weten. Maar een hoop mensen kennen de persoon in kwestie niet en verliezen er ook niets mee. Een ontvanger reageert hier zeer persoonlijk op. Per ongeluk aan allen beantwoorden. Iedereen leest nu van die persoon het persoonlijke verhaal, wat mogelijk juist nadelig is voor zijn/haar positie. Natuurlijk moet je zelf ook oplettend zijn (zowel wat je schrijft via zakelijke mail, als ontvangers), maar gaat het eigenlijk al mis bij de eerste zender.
Die eerste zender had daarom m.i. beter gericht kunnen sturen. Dus in een CC (als iedereen elkaar, het onderwerp kent èn hetzelfde belang heeft of zou moeten krijgen) of anders BCC (wanneer 1 van de CC voorwaarden nee is).

Ben benieuwd of m'n gedachtegang klopt.

[Reactie gewijzigd door marcel87 op 30 januari 2019 09:06]

Een persoonlijk verháál aan iedereen sturen is gewoon dom :P maar geen datalek, tenzij je in dat verhaal details verspreid die privacygevoelige informatie bevatten. Dat je iemand een achterlijke gladiool noemt is geen persoonsgegeven, maar als je rondstuurt wat het woonadres van persoon <x> is, dan wél.

Intern is het een ander verhaal. Als ik een mail stuur naar de distributiegroep 'iedereen' binnen mijn werkgever is het iets anders dan wanneer ik mijn persoonlijke adresboek in de CC zet.

Ik ben geen expert of zo hoor. Maar een e-mailadres is een persoonsgegeven en zodra dat het bedrijf verlaat of privégegevens terechtkomen bij onbevoegden is er sprake van een lek, da's vrij duidelijk omschreven.
Post is natuurlijk enorm data-lek gevoelig. 1 tikfout in een adres en een poststuk wordt verkeerd bezorgd. 1 adressticker die verkeerd geplakt word en een poststuk wordt verkeerd bezorgd. 1 brief die per ongeluk bij een andere brief wordt ingestopt en een poststuk wordt verkeerd bezorgd.

Nu zal dat in veel gevallen niet ernstig zijn en neemt de hoeveelheid post ook sterk af, maar een foutje is al snel gemaakt. Ik vraag me ook af hoeveel van die datalekken een vergissing/slordigheidje zijn, hoeveel er zijn omdat er onbewust iets fout zit in een werkwijze/proces en hoeveel er zijn omdat bewust data foutief gebruikt wordt.
Die vraag staat beantwoord in het uitgebreide rapport. Als je het je echt afvraagt kan je het dus gewoon even opzoeken.
Verplaatst.

[Reactie gewijzigd door BStorm op 29 januari 2019 18:27]

Grootste data lek tot nu toe? Facetime interessante boete zou daar uit kunnen rollen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True