Selecteer een pagina

Explosieve toename phishing aanvallen: ‘Verwijder de email of sms meteen’

De Belastingdienst meldt een zorgwekkende toename van phishing meldingen. Normaal krijgt de Belastingdienst zo’n veertig meldingen per week, maar vorige week steeg dit tot vijfhonderd meldingen en deze week ontvingen de dienst maar liefst duizend meldingen per dag.

Phishing is een methode waarbij kwaadwillenden met voornamelijk nepmailtjes hengelen naar persoonlijke data, zoals inlog- en bankgegevens.

In het geval van de Belastingdienst gaat het om sms’jes waarin wordt gezegd dat de ontvanger nog een schuld open heeft staan. Daarbij staat een link waar de ontvanger dan op moet klikken om deze schuld te betalen. Ook zijn er mails in omloop waarin een link naar een factuur wordt meegestuurd die ontvangers nog zouden moeten betalen.

De Belastingdienst waarschuwt om deze links niet te openen. “Wij vragen u nooit om betalingen te doen via e-mail of sms. Open de e-mail (en bijlage) of sms niet, maar verwijder deze meteen”, aldus de Belastingdienst.

De Fraudehelpdesk liet in oktober al weten dat dit jaar veel meer meldingen van phishing binnenkomen dan voorgaande jaren. Het ging in de periode van januari tot oktober om vijftienduizend meldingen.

Duizend meldingen op een dag is, in vergelijking met vijftienduizend meldingen verspreid over tien maanden, een explosieve stijging. Waarom juist deze week zoveel meldingen binnenkomen is bij de Belastingdienst onbekend.

Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Deze AVG awareness video moet je echt zien! Een cybercrimineel neemt niet alleen je online leven over, maar ook jouw echte leven

Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.

Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.

Ruim 50 procent van de cybercriminelen die voor de rechtbank komen heeft geen ICT-opleiding

Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.

Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.

“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.

 

De onderzoekers hebben drie daderprofielen geïdentificeerd:

  • Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding. 
  • De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
  • De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.

En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.

91 hackergroepen die in opdracht van overheden werken

Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.

Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.

Absolute ICT-beveiliging bestaat niet

“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”

Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.

Preventieve inzet van professionele ethical hackers

Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.

Moet alles echt aan het netwerk gekoppeld worden?

Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”

Privacy Awareness trainingen van groot belang

Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.

Digitale ‘Fukushima’ ramp

De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.

“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”

De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.

INFO: http://berlinscienceweek.com

37 procent van alle ransomware hacks is gericht op de zorgsector

37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.

De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.

Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.

In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.

Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.

Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.

Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.

BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.

Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.

Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.

De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.

Noord-Koreaanse cyberterroristen richten zich met malware bewust op kleinere bedrijven

Het is een rampscenario voor ieder bedrijf. Cybercriminelen leggen met malware – een virus waarmee afpersers losgeld afdwingen – het hele computernetwerk plat. De hele productie valt stil. Niemand kan nog inloggen. Geen omzet meer. Wat nu? Betalen?

In dit artikel leggen we aan de hand van een actueel praktijkvoorbeeld uit dat het niet verstandig is te betalen.

Grotere bedrijven hebben meestal nog wel financiele middelen en gekwalificeerde mensen om de ransomware te verwijderen en het probleem zelf op te lossen. Vaak hebben zij een goed backupsysteem. Zij kunnen omzetverlies nog opvangen. Zij kunnen het zich veroorloven om aangifte te doen bij justitie.

Ransomaanval kan katostrofaal zijn voor kleinere bedrijven

Maar dat ligt anders bij veel kleine en middelgrote bedrijven. Daar kan een ransomaanval katastrofaal uitpakken. Het voortbestaan van het bedrijf staat op het spel.

Juist veel van deze kleinere bedrijven denken dat het risico dat zij worden aangevallen door cybercriminelen wel meevalt. Je leest immers ook vrijwel alleen over grote datalekken bij grote organisaties.

Verplichtingen Algemene Verordening Gegevensbescherming niet op orde

Het zijn dezelfde bedrijven die nog nauwelijks aandacht hebben besteed aan de verplichtingen die de Algemene Verordening Gegevensbescherming (AVG) hen oplegt. Ze denken dat de Autoriteit Persoonsgegevens (AP) wegens personeelsgebrek zich voorlopig alleen op grote bedrijven richt.

Noord-Koreaanse cybercriminelen opereren als hyena’s

Kortom: juist deze bedrijven zijn kwetsbaar. Ooit een natuurfilm gezien waarbij een horde hyena’s jacht maakt op een zwakke gnoe in een kudde? Die beesten jagen bewust op een kwetsbare prooi. Kost minder energie. De kans op succes is groot.

Dezelfde strategie passen Noord-Koreaanse cybercriminelen momenteel toe. De arme communistische staat zit krap bij kas en heeft cybercrime omarmd als lucratief en eenvoudig verdienmodel. De Noord-Koreaanse staatshackers richten zich met hun malware opvallend vaak bij voorkeur op kleine en middelgrote bedrijven.

‘Relatief’ lage losgeld eisen

En er is nog iets wat opvalt. De Noord-Koreanen eisen opvallend vaak relatief weinig losgeld dat betaald moet worden in Bitcoin. Bedrijven zijn dan geneigd om sneller te betalen om van de ellende af te zijn. Om wanhopig het bedrijf te redden.

De Duitse geheime dienst (Verfassungsschutz) en de Duitse landelijke recherche (Landes Kriminal Ambt – LKA) doen sinds woensdag 31 oktober 2018 onderzoek naar een Noord-Koreaanse aanval op een middelgroot bouwbedrijf in Kaiserslautern.

Woensdag ontdekten ICT-medewerkers van het bouwbedrijf IGR AG een lek in het beveiligingssysteem. Er verscheen een blauwe chantagebrief op de computerschermen.

De Noord-Koreaanse hackers hadden de volledige controle over de computers van IGR AG (ongeveer 100 werknemers) overgenomen.

Betrokken bij bouw militaire vliegvelden

In het bedrijf, dat onder andere betrokken is bij de planning en de bouw van de NATO vliegvelden Ramstein, Bitburg en Hahn, functioneerde niets meer.

20 Bitcoin losgeld

De cybercriminelen boden aan om voor ‘slechts’ 20 Bitcoin losgeld de blokkade van het computersysteem op te heffen. Omgerekend in Euro gaat het dan tegen de huidige Bitcoinkoers om ongeveer 111.250 Euro.

IGR AG was echter niet van plan om zich digitaal te laten chanteren. Het bedrijf besloot aangifte te doen.

Duitse geheime dienst

“De gegevens van het bedrijf werden geblokkeerd door een Trojaans computervirus”, vertelt openbaar aanklager Udo Gehring uit Kaiserslautern. De ICT-specialisten van IGR en onderzoekers van de Duitse geheime dienst gaan er van uit dat er Noord-Koreaanse hackers achter de aanval zitten.

De pakkans van de Noord-Koreaanse daders is vrijwel nihil. Het heeft mede om die reden voor ondernemers nauwelijks zin om aangifte te doen. En uit angst voor hoge boetes die de Autoriteit Persoonsgegevens (AP) vanwege de Algemene Verordening Gegevensbescherming (AVG) kan opleggen als blijkt dat een bedrijf niet voldoet aan de wet, besluiten veel bedrijven daarom maar het losgeld te betalen.

Ideaal scenario Noord-Korea

Dat weten de Noord-Koreanen maar al te goed. Een ideaal scenario voor de arme Noord-Koreaanse staat. Een rampscenario voor bedrijven.

IGR deed het enige juiste. Het bedrijf deed aangifte en besloot niet te betalen. De ICT afdeling heeft de grootste problemen die de ransomware heeft aangericht inmiddels opgelost. Er kan weer gewerkt worden.

Krijgt ICG nu nog een boete van de Duitse Autoriteit Persoonsgegevens?

De vraag is nu wat de Duitse Autoriteit Persoonsgegevens gaat doen. Moet IGC een boete betalen? Als het bedrijf volgens de regels van de Algemene Verordening Gegevensbescherming werkt is die kans klein. Geen systeem is waterdicht. Je wordt niet bestraft als je kunt aantonen dat je vooraf technische en organisatorische maatregelen hebt genomen.

Vrijwel ieder bedrijf denkt bij de AVG aan bureaucratische administratieve rompslomp. Vaak uit onwetendheid. De procedures vallen achteraf meestal wel mee. En ze zijn er niet voor niets. Een bedrijf belandt pas echt in een rampscenario als het gechanteerd wordt via ransomware en de AVG verplichtingen niet op orde heeft. Juist dan ben je vanwege de potentiele hoge boetes van de Autoriteit Persoonsgegevens echt chantabel.

Voorkom het malware risico

Voorkom het malware risico. PrivacyZone kan helpen. Bel: +06-31995740 of mail naar info@privacyzone.nl.

 

Windows 10 update laat bestanden verdwijnen. Microsoft stopt met uitrol

Microsoft heeft de uitrol van de Windows 10-update stopgezet voor al zijn gebruikers. Aanleiding is een aantal meldingen van gebruikers die merkten dat hun bestanden na de update zijn verdwenen.

Het techbedrijf maakte de update voor Windows 10 deze week beschikbaar. De update geeft gebruikers onder meer toegang tot de Your Phone-app. Daarmee kunnen zij sms’jes en foto’s van Android-smartphones op hun computer bekijken.

Een aantal gebruikers dat de update heeft geïnstalleerd, merkte na afloop dat bestanden waren verdwenen. De documenten waren ook niet terug te vinden in een oude versie van Windows, een back-up die de software automatisch maakt na de installatie van een nieuwe versie.

Hoeveel mensen met de problemen te kampen hebben, is niet duidelijk. Microsoft spreekt op zijn website alleen van “geïsoleerde meldingen”.

Het bedrijf roept gebruikers die de update gedownload hebben op om deze nog niet te installeren. Ook zegt het bedrijf met meer informatie te komen zodra een nieuwe versie van de Windows 10-update beschikbaar is.

Poetin helpt Autoriteit Persoonsgegevens. Topweek voor AVG Awareness

Twijfel je nog over het nut van de Algemene Verordening Gegevensbescherming (AVG)? Waarom? Amateuristische russische spionnen hebben nu toch wel bewezen hoe kinderlijk eenvoudig het is om gevoelige informatie te verzamelen.

Poetin en de MIVD bewijzen de Algemene Verordening Gegevensbescherming een enorme dienst.

De MIVD verhinderde op 13 april een hackaanval van de Russische geheime dienst (GROe) op de OPCW in Den Haag en gaf voor het eerst in de geschiedenis van de geheime dienst tot in detail weer hoe de spionnen hun slag hadden willen slaan.

Russische spionnen goud waard voor AVG Awareness trainingen

De gedetailleerde reportages over de aanhouding van de russische spionnen die in april in Nederland op heterdaad werden betrapt zijn goud waard voor AVG awareness trainingen.

Juist de amateuristische werkwijze maakt duidelijk hoe groot het risico van cybercrime, bedrijfsspionage en hacks is.

Diverse media schakelden ethical hackers in om uit te leggen hoe de Russische spionnen te werk hadden willen gaan. De YouTube video’s van deze nieuwsitems zullen ongetwijfeld bij menige AVG Awareness training worden gebruikt.

NOS Nieuws

Rusland staat in zijn hemd na de verijdelde hackaanval op de OPCW, zegt ethisch hacker Sijmen Ruwhof bij NOS Nieuws. Hij demonstreert het soort apparatuur dat de Russische officieren waarschijnlijk gebruikten: “Niet geavanceerd en te koop voor honderd euro.”

RTL Late Night

Ethisch hacker Rickey Gevers geeft bij RTL Late Night een demonstratie hoe een hackaanval werkt. Hij gebruikt hiervoor een speciaal apparaat en weet vanalles over de mensen uit de zaal.

Een kind kan de was doen. Wat de amateuristische mannen van de russische president Poetin doen kunnen kinderen ook.

16-jarige jongen hackt Apple

Een jongen van 16 uit Australië is via een hack meerdere keren in het computernetwerk van de Amerikaanse techgigant Apple binnengedrongen.

De jongen drong in juni 2015 voor het eerst bij Apple binnen. Hij was toen zestien jaar oud. Dat duurde tot november 2016. Apple dichtte het lek, maar in april vorig jaar slaagde de Australiër er weer in binnen te komen.

Hij werd uiteindelijk gepakt en kwam voor de rechter.

,,Wat je hebt gedaan is ernstig. Het was langdurig, verfijnd en een geslaagde aanval op de beveiliging van een groot internationaal bedrijf”, zei de rechter.

In totaal zou de tiener vanuit zijn huiskamer voor in totaal 90 gigabyte aan beveiligde informatie van het netwerk van Apple hebben binnengehaald.

Oproep Nederlandse Vereniging van Effectenbezitters

Directeur Paul Koster van de Nederlandse Vereniging van Effectenbezitters roept bestuurders en commisarissen van bedrijven op zich via scenarioanalyse voor te bereiden allerlei vormen van cyberaanvallen. Hij doet dat naar aanleiding van een driedaagse bijeenkomst van de Britse denktank Oxford Analytica over ondermeer cybersecurity.

In een column in de Telegraaf wijst Koster op de grote risico’s die het Nederlandse bedrijfsleven loopt door cyberdreiging waar volgens hem veel te weinig aandacht aan wordt geschonken door zowel overheid als bedrijfsleven.

Geen panklaar antwoord op bedreigingen cyberrevolutie

“De Westerse overheden hebben nog geen pasklaar antwoord op de bedreigingen van de cyberrevolutie”, schrijft Koster. “Het fenomeen vraagt een totaal nieuwe aanpak tussen overheden en bedrijfsleven. Een nauwe samenwerking in de vorm van partnerships is nodig om überhaupt de ontwikkelingen bij te houden.”

Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels

Ondanks alle berichten over spionage door russen en hacks bij Facebook en Apple leeft de AVG nog steeds niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen,
waaronder Nederland.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Hoogste tijd voor privacybeleid en een awareness training

Het wordt langzamerhand echt de hoogste tijd dat we met elkaar wakker worden. Voldoet jouw organisatie al aan de AVG? Is er al een AVG Awareness training gegeven? Wordt die training ook regelmatig herhaald?

Nee?

Neem nu contact met PrivacyZone op! Uitstel heeft geen zin. Iedere organisatie moet hoe dan ook aan de AVG voldoen.

Medisch datalek. Fout met persoonsgegevens van 900 hartpatiënten Utrechts Medisch Centrum. Wat kunnen we leren van de media-aandacht, reacties van patiënten en gevolgen voor imago

Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.

Accountants gaan kritisch toezien op cyberbeveiliging MKB-bedrijven. Initiatief Deloitte, EY, KPMG en PWC

MKB-bedrijven kunnen kritische vragen verwachten van hun accountants over de manier waarop ze zich beveiligen tegen internetcriminaliteit. Dat meldt het Financieel Dagblad.

Het initiatief is genomen door de vier grootste accountantskantoren: Deloitte, EY, KPMG en PWC. Het wordt echter door de hele sector gevolgd.

Accountants zijn volgens de vereniging ICT-auditors wettelijk verplicht om te oordelen over de betrouwbaarheid en continuïteit van ICT-systemen van hun klanten.

Is er een calamiteitenplan gemaakt?

Op de door Deloitte, EY, KPMG en PWC bedachte vragenlijst staan onder meer vragen over wat een organisatie van plan is te doen op het moment dat er een incident is en welk beleid er is voor het veilig updaten van ICT-systemen.

Het is de bedoeling dat accountants aan de hand van een vragenlijst met ondernemers in gesprek gaan over cyberveiligheid, zegt Jos Nijhuis, co-voorzitter van de Cyber Security Raad en initiatiefnemer van de ‘Cyber Health Check’.

Cyber Security Raad is onafhankelijk adviesorgaan voor kabinet

De Cyber Security Raad is een onafhankelijk adviesorgaan van het kabinet, met als doel het verhogen van de cyberveiligheid van Nederland.

“Bij de grote bedrijven is de bewustwording over de gevaren van internetcriminaliteit over het algemeen goed”, zegt Nijhuis, die tot voor kort algemeen directeur van Schiphol was. “Maar binnen het MKB wordt cyberbeveiliging nog vaak gezien als een vraagstuk voor de leveranciers van de hardware en de software.”

Cyberbeveiliging niet alleen van belang voor MKB-bedrijven zelf

Volgens Nijhuis is goede cyberbeveiliging niet alleen van belang voor de MKB-bedrijven zelf, maar ook voor heel Nederland.

“De keten is zo sterk als de zwakste schakel. Ook grote organisaties worden kwetsbaar als hun toeleveranciers de beveiliging niet op orde hebben.”

Door toezicht op cyberbeveiliging door accountants te laten uitvoeren verwacht de Cyber Security Raad dat het onderwerp meer aandacht gaat krijgen binnen het MKB.

Iemand stuurt je een e-mailbericht met in de cc diverse e-mailadressen. Is dat een datalek?

Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.

Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.

Klantenlijst concurrent in de schoot geworpen

En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…

Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.

De AVG is niet nieuw. De regels bestonden al

Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.

Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.

Wanneer is iets een datalek?

Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.

Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).

Jouw mailadres is onrechtmatig gedeeld

Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.

Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.

De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.

Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…

Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.

Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.

Schelden op de AVG lijkt logisch, maar is onterecht

Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.

120.000 Euro boete

De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.

Boetelijst Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.

Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.

Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?

De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.

Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.

CC is soms best praktisch

Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.

Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.

Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.

Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.

Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?

Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.

Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.

Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval

De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.

De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.

Leg de e-mailetiquette uit

Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.

In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.

Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.

PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie

De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.

Hoe groot is de pakkans?

Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.

De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.

AP moet iedere klacht behandelen

Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.

Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.

Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.

Iedereen kan aangifte tegen jou doen

Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.

Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.

• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.

• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.

• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.

Neem geen risico.

Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.

AVG Awareness veiligheidsmaatregel: contactloze autosleutelsysteem laten uitschakelen. Zeer onveilig systeem

Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.

Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.

AVG awareness maatregel contactloze sleutels

De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.

De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.

Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.

Wanneer wordt jouw auto gestolen?

Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.

,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).

Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.

Laat de contactloze sloten uitschakelen

Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”

Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”

PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.

Systeem niet zelf uitschakelen

Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.

De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.

Inbraakgolf in auto’s

In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.

Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.

De meest gestolen auto’s met contactloze sleutels

Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:

  • Nummer 1: Toyota RAV4

Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.

  • Nummer 2: Citroën C4

Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.

  • Nummer 3: Land Rover Evoque

Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.

  • Nummer 4: Lexus NX

De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.

  • Nummer 5: Lexus IS

De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.

  • Nummer 6: Range Rover Sport van Land Rover

Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.

  • Nummer 7: De A-Klasse van Mercedes-Benz

Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.

  • Nummer 8: XF van Jaguar

Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.