Selecteer een pagina

Misbruik lekken in NL-Alert-app is volgens minister niet uit te sluiten

Het is technisch gezien niet uit te sluiten of iemand datalekken in de NL-Alert-app heeft misbruikt. Dat meldt minister Ferd Grapperhaus van Justitie en Veiligheid in een Kamerbrief.

Met behulp van een unieke gebruikerscode die te vinden was in de NL-Alert-app, kon de actuele locatie van een appgebruiker achterhaald worden. Die informatie zou gebruikt kunnen worden om iemand te volgen.

Volgens de privacywet moeten gegevens goed beveiligd zijn, onder meer door te voorkomen dat Jan en alleman er toegang tot heeft. Het bijhouden van een logboek is niet verplicht, maar volgens de Autoriteit Persoonsgegevens (AP) in de meeste gevallen wel noodzakelijk.

“Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest”, aldus de toezichthouder.

Grapperhaus erkent dat de beveiliging van de NL-Alert-app “boven elke twijfel verheven” moet zijn. Hoewel misbruik niet technisch uit te sluiten is, wijst de minister er in de brief wel op dat iemand toegang moest hebben tot de smartphone van het beoogde slachtoffer. Ook was de kwetsbaarheid niet publiek bekend, wat de kans op misbruik verkleint.

Zowel de eerste als de tweede kwetsbaarheid is in de meest recente versie van de NL-Alert-app verholpen. De update maakt de app echter onbruikbaar.

Minister Grapperhaus adviseert gebruikers om de app te verwijderen. De reguliere NL-Alert wordt via een technische variant op sms verstuurd en is niet afhankelijk van een app.

Datalek bij Tadaah. Identiteitsbewijzen en VOG-verklaringen honderden zorgmedewerkers op straat

Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.

Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers

Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.

Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.

In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.

RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”

Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Datalek bij Donorregister: 6,9 miljoen donorformulieren zoek

Twee externe harde schijven met een back-up van 6,9 miljoen donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 zijn zoekgeraakt, schrijft minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport, in een Kamerbrief.

Het gaat om in totaal 6,9 miljoen formulieren, vertelt een woordvoerder van het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid, aan NU.nl. Daarin staan de voor -en achternaam, geboortedatum, burgerservicenummers, adresgegevens, en de reden van registratie of wijziging in het donorregister.

Het is niet bekend wanneer de harde schijven zijn verdwenen. Het CIBG ontdekte afgelopen week dat de schijven niet meer in de kluis lagen waar deze werden bewaard. De organisatie wilde het papieren archief van het Donorregister gaan vernietigen. Op de harde schijven staat een digitale kopie van dit archief. Volgens de woordvoerder zijn de harde schrijven “waarschijnlijk niet beveiligd”.

Het CIBG denkt dat het risico op identiteitsfraude op basis van de gegevens beperkt is, omdat het niet gaat om kopieën van identiteitsbewijzen, financiële gegevens of (DigiD-)inlogcodes. “Daarnaast hebben we op dit moment geen aanwijzing dat de gegevens in verkeerde handen zijn. We adviseren u wel om net als altijd alert te zijn op onverwachte post”, aldus het CIBG.

“Ik vind het zeer vervelend dat dit is gebeurd”, schrijft De Jonge in de Kamerbrief. “Het is uitermate belangrijk dat het publiek, aan de vooravond van het van kracht worden van de nieuwe Donorwet op 1 juli aanstaande, kan vertrouwen op een zorgvuldige en goed beveiligde omgang met persoonsgegevens door het Donorregister. Dat vertrouwen kan door een datalek geschaad worden.”

Het CIBG heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en heeft de Auditdienst Rijk (ADR) verzocht een onafhankelijk onderzoek uit te voeren naar het lek. De woordvoerder benadrukt dat er met het digitale donorregister niks is gebeurd. Volgens De Jonge heeft het datalek geen gevolgen voor orgaan- en weefseldonatieprocedures.

Flevoziekenhuis in Almere raakt USB-stick met patiëntgegevens kwijt

Bij het Flevoziekenhuis in Almere is een medewerker een USB-stick met patiëntgegevens kwijtgeraakt, schrijft het ziekenhuis dinsdag op hun website. Op de USB-stick stonden gegevens van 4325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer van het ziekenhuis.

Op de USB-stick stonden de naam, geboortedatum en patiëntnummer van de patiënten en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens, burgerservicenummers en geen overige medische gegevens, schrijft het ziekenhuis.

Een zorgverlener van het ziekenhuis had deze patiëntgegevens ongeoorloofd op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Maar de medewerkers verloor de USB-stick op een parkeerterrein nabij het ziekenhuis.

Op 9 oktober werd de stick gevonden door iemand anders die gebruik maakte van het parkeerterrein. De vinder heeft thuis de inhoud van de stick geopend en besloot vervolgens om deze weer terug te brengen naar het ziekenhuis.

“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur van het Flevoziekenhuis. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen”.

Datalekprocedure Autoriteit Persoonsgegevens

Het incident is gemeld bij de Autoriteit Persoonsgegevens en het ziekenhuis heeft met behulp van een extern bureau een onderzoek ingesteld. De betrokken patiënten zijn geïnformeerd over het datalek.

Daarnaast heeft het ziekenhuis de richtlijnen omtrent het bewaren van patiëntgegevens verscherpt. Het is voortaan verboden om USB-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens.

Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren in het ziekenhuis in te leveren.

Forse stijging datalekken in 2019

De Autoriteit Persoonsgegevens (AP) kreeg in 2019 bijna een derde meer meldingen binnen van datalekken dan in 2018, schrijft de privacytoezichthouder donderdag. In 2019 ontving de AP 26.956 meldingen van datalekken.

Het grootste deel van de meldingen kwam uit de sector financiële dienstverlening (30 procent), gevolgd door zorg (28 procent) en openbaar bestuur (17 procent).

Volgens Monique Verdier, vicevoorzitter van de AP, kunnen gegevens van burgers door een verkeerd verstuurde e-mail of foutief geadresseerde post bij een verkeerde partij terecht komen. “Wanneer deze post wordt ingezien door onbevoegden kan dat grote impact hebben op de betrokken personen”, aldus Verdier.

Overheidsinstanties beschikken over een grote hoeveelheid persoonsgegevens, zoals burgerservicenummers. Datalekken in deze sector kunnen daarom grote impact hebben op burgers, stelt de AP.

Ook toename hacks en malware

In 2019 ontving de AP 902 meldingen over hacks, malware en phishingaanvallen. Dat is een kwart meer meldingen dan in 2018. Onder malware valt ook gijzelsoftware. Daarbij blokkeren hackers computers en bestanden totdat het slachtoffer een bepaald bedrag betaalt.

Sinds 2016 is het verplicht voor organisaties om datalekken bij de AP te melden, maar niet alle organisaties houden zich daaraan. De AP is in 2019 28 onderzoeken gestart naar organisaties die een datalek hadden moeten melden aan de AP, maar dat niet of te laat hebben gedaan.

Deze organisaties kunnen hiervoor mogelijk een sanctie krijgen. De AP schrijft per geval te bekijken welke sanctie passend is.

Gemiddelde mbo-student kan eenvoudig inbreken in computers ziekenhuizen

Veel Nederlandse bedrijven hebben hun ICT niet op orde, daardoor zijn 100.000 computers vatbaar voor datalekken. Dat vertellen ICT-experts in een video die YouTuber Sven van der Meulen vrijdag op YouTube heeft gezet.

Door een beveiligingsissue in Windows-computers kan “de gemiddelde ICT-student op het mbo” inbreken in de computers.

Van der Meulen voerde het onderzoek uit in samenwerking met cybersecuritybedrijf Dyna-Tech. Een ICT-expert van dat bedrijf vertelt in de video dat een fout in het besturingssysteem van Windows maanden geleden is ontdekt. Een fout die volgens de experts makkelijk te herstellen is, ware het niet dat veel bedrijven op ICT-gebied “hun zaken niet op orde hebben”.

Daar komt bij dat de kwetsbaarheden van de computers openbaar te vinden zijn op het internet. “Elke zolderhacker kan al maanden eenvoudig toegang krijgen tot deze computers, met alle gevolgen van dien”, vertelt een ander cybersecuritybedrijf, Fox-IT, in de video.

Om aan te tonen hoe slecht het gesteld is met de beveiliging bij bedrijven ging de YouTuber op bezoek bij een bibliotheek, waar hij een hacker opdracht gaf op een “ludieke manier” het systeem binnen te komen. De hacker printte vanuit het systeem het logo van Van der Meukens YouTube-kanaal Vrije Vogels via een printer van de bieb.

Daarnaast zocht hij contact met een abortuskliniek die ook de beveiliging van het systeem niet op orde had. De twee bedrijven hebben hun systeem inmiddels beter beveiligd.

Ziekenhuizen en abortusklinieken

Volgens de experts blijven nog steeds 100.000 computers over waarbij hackers makkelijk toegang kunnen krijgen tot alle data in het systeem, waaronder persoonsgegevens. Het gaat hierbij ook om computers van ziekenhuizen en abortusklinieken.

ICT-specialist Joost Pol legt in de video uit dat het probleem vaak is dat bedrijven hun software niet updaten. “Een van de meest basale dingen om de computer veilig te houden, het updaten van de software, gebeurt nog steeds niet vaak genoeg.”

Datalek bij Albert Heijn door programmeerfout in inloggedeelte website

Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.

Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.

Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.

De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.

De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.

Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.

Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Nederlandse Vakbond Journalisten meldt datalek. Per ongeluk adresgegevens 700 leden verstuurd

De meeste datalekken ontstaan door menselijke fouten. Dat bewijst een datalek bij de Nederlandse Vereniging van Journalisten (NVJ). Een medewerker heeft per ongeluk de namen en adressen van zevenhonderd leden verstuurd naar een persoon buiten de organisatie.

De NVJ heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).

De persoonlijke informatie werd op 29 oktober door een menselijke fout naar slechts één persoon verstuurd, meldt de NVJ donderdag op haar website. Alle leden zijn ook per e-mail geïnformeerd.

De ontvanger van de gegevens heeft volgens de journalistenvakbond aangegeven de informatie te hebben verwijderd. Daarmee lijken de vakbond en de aangesloten journalisten met de schrik vrij te komen. Onder de leden bevinden zich naar alle waarschijnlijkheid ook adressen van journalisten die levensgroot risico lopen als hun gegevens in verkeerde handen vallen.

Misdaadjournalist Paul Vugts van Het Parool moest al eens onderduiken. Journalisten Mick van Wely en John van den Heuvel werden bedreigd na een publicatie over motorclub No Surrender. Op het hoofd van Van den Heuvel zou zelfs een”aanzienlijk” geldbedrag zijn gezet.

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.

92 miljoen stamboomonderzoekers getroffen door datalek bij MyHeritage

Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.

Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.

Bij MyHeritage kunnen gebruikers een DNA-test laten doen.

Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.

 

Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.

Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.