Datalek bij RTL. 32.000 accounts gehackt

De commerciele omroep RTL heeft bij de Autoriteit Persoonsgegevens (AP) melding gedaan van een omvangrijk datalek. Hackers hebben ingebroken bij 32.000 accounts van RTL-diensten als Videoland, Buienradar en RTL Nieuws.

De mailadressen en wachtwoorden die de cybercriminelen gebruikten zijn buitgemaakt bij hacks in het verleden, onder andere bij LinkedIn, Dropbox en eBay.

RTL heeft alle getroffen accounts geblokkeerd totdat gebruikers hun wachtwoord aanpassen. Er zijn volgens de omroep geen betalingsgegevens gestolen.

Alhoewel de inloggegevens eerder elders zijn buitgemaakt gaat RTL echter zelf niet vrijuit. RTL had onvoldoende beschermingsmaatregelen getroffen waardoor de hackers geautomatiseerd in bulk combinaties van wachtwoorden en mailadressen konden invoeren bij Videoland, Buienradar en RTL Nieuws.

Zo kregen de cybercriminelen toegang tot de volledige naam, het e-mailadres, woonadres en de woonplaats.

In het kader van de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties technische en organisatorische maatregelen treffen om diensten en sites te beveiligen tegen cybercrime. Als er geprobeerd wordt om in bulk in te loggen op een site is dat verdacht en moet zo’n site automatisch die inlogpogingen blokkeren. Dat is blijkbaar bij RTL niet gebeurd.

Veel mensen gebruiken voor verschillende diensten dezelfde inloggegevens. Als een zo’n dienst gekraakt wordt hebben cybercriminelen meteen toegang tot meerdere diensten en sites. Bij security awareness trainingen wordt iedereen daarom geadviseerd om zo snel mogelijk nieuwe alle wachtwoorden te wijzigen. Gebruik voor alle diensten en sites een seperaat wachtwoord.

Wachtwoord aanpassen
Op de website Have I Been Pwnd kun je controleren of wachtwoorden van je online accounts zijn uitgelekt. Is dat het geval? Dan is het belangrijk om dat wachtwoord overal aan te passen. Het is verstandig om voor verschillende online diensten andere wachtwoorden gebruiken.

Meer actueel awareness nieuws

Hoe lang mag je persoonsgegevens volgens de AVG eigenlijk bewaren? De Autoriteit Persoonsgegevens geeft 5 aanbevelingen

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Over het register van verwerkingen

De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

PrivacyZone helpt bij het opzetten van een verwerkingsregister

Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.

Meer actueel awareness nieuws

Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Meer actueel awareness nieuws

Duitse toezichthouders spreken elkaar tegen over naambordjes. Toch wel AVG kwestie?

De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.

Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.

Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.

Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.

.
“De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.

Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.

Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.

Moeten alle naambordjes dan toch verwijderd worden?

Dr. Lutz: “Nee, nee, nee!”

Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.

Er moet wel toestemming gevraagd worden

“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.

Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.

Hoe kunnen verhuurders aan de AVG voldoen?

Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:

“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”

De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.

Teveel interpretaties mogelijk met de AVG

Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.

In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.

Meer actueel awareness nieuws