Privacy Nieuws
Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.
Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.
Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.
De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.
De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.
Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.
Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.
Privacy Nieuws
De meeste datalekken ontstaan door menselijke fouten. Dat bewijst een datalek bij de Nederlandse Vereniging van Journalisten (NVJ). Een medewerker heeft per ongeluk de namen en adressen van zevenhonderd leden verstuurd naar een persoon buiten de organisatie.
De NVJ heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).
De persoonlijke informatie werd op 29 oktober door een menselijke fout naar slechts één persoon verstuurd, meldt de NVJ donderdag op haar website. Alle leden zijn ook per e-mail geïnformeerd.
De ontvanger van de gegevens heeft volgens de journalistenvakbond aangegeven de informatie te hebben verwijderd. Daarmee lijken de vakbond en de aangesloten journalisten met de schrik vrij te komen. Onder de leden bevinden zich naar alle waarschijnlijkheid ook adressen van journalisten die levensgroot risico lopen als hun gegevens in verkeerde handen vallen.
Misdaadjournalist Paul Vugts van Het Parool moest al eens onderduiken. Journalisten Mick van Wely en John van den Heuvel werden bedreigd na een publicatie over motorclub No Surrender. Op het hoofd van Van den Heuvel zou zelfs een”aanzienlijk” geldbedrag zijn gezet.
Privacy Nieuws
Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.
Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.
Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.
Persbericht VieCuri Medisch Centrum
Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.
„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.
Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd
“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“
Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“
Slordige communicatie
Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“
Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.
Alle patiënten en ouders/verzorgers worden geinformeerd
“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“
Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar
Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.
De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.
Nieuw wachtwoord voor personeel
Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.
Privacy Nieuws
De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.
Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.
Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.
In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).
De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.
Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.
Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.
Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.
Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.
Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.
Je kunt het ICO-jaarverslag hier downloaden.