Datalek bij Albert Heijn door programmeerfout in inloggedeelte website

Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.

Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.

Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.

De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.

De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.

Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.

Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Nederlandse Vakbond Journalisten meldt datalek. Per ongeluk adresgegevens 700 leden verstuurd

De meeste datalekken ontstaan door menselijke fouten. Dat bewijst een datalek bij de Nederlandse Vereniging van Journalisten (NVJ). Een medewerker heeft per ongeluk de namen en adressen van zevenhonderd leden verstuurd naar een persoon buiten de organisatie.

De NVJ heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).

De persoonlijke informatie werd op 29 oktober door een menselijke fout naar slechts één persoon verstuurd, meldt de NVJ donderdag op haar website. Alle leden zijn ook per e-mail geïnformeerd.

De ontvanger van de gegevens heeft volgens de journalistenvakbond aangegeven de informatie te hebben verwijderd. Daarmee lijken de vakbond en de aangesloten journalisten met de schrik vrij te komen. Onder de leden bevinden zich naar alle waarschijnlijkheid ook adressen van journalisten die levensgroot risico lopen als hun gegevens in verkeerde handen vallen.

Misdaadjournalist Paul Vugts van Het Parool moest al eens onderduiken. Journalisten Mick van Wely en John van den Heuvel werden bedreigd na een publicatie over motorclub No Surrender. Op het hoofd van Van den Heuvel zou zelfs een”aanzienlijk” geldbedrag zijn gezet.

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

10 vragen die de Autoriteit Persoonsgegevens stelt bij een steekproef. Kan jouw organisatie meteen antwoorden?

Stel dat jouw organisatie volgende week onverwachts door de Autoriteit Persoonsgegevens (AP) wordt bezocht voor een steekproef… Kun jij dan deze 10 vragen beantwoorden die de toezichthouders in Duitsland momenteel stellen bij AVG steekproeven in het MKB?

 

1. voorbereiding op de AVG

Hoe heeft u zich als bedrijf voorbereid op de AVG?

Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.

Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.

2. lijst van verwerkingsactiviteiten

Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?

Hoe zorgt u ervoor dat het up-to-date is?

Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.

3. toelaatbaarheid van de verwerking

Op welke wettelijke basis verwerkt u persoonlijke gegevens?

Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.

4. rechten van de betrokkenen

Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?

Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.

Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.

5. technische gegevensbescherminga

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?

Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?

Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?

Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)

6. beoordeling van de gevolgen voor de persoonlijke levenssfeer

Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming

Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.

7. orderverwerking

Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?

Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.

8. functionaris voor gegevensbescherming

Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?

Welk bewijs van deskundigheid heeft hij?

9. rapportageverplichtingen

Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?

Schets uw gerelateerde processen.

10. documentatie

Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?

Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.