Categorie op Datalekken

DUO lekt 1700 burgerservicenummers via adresvenster enveloppen

De Dienst Uitvoering Onderwijs (DUO) heeft door een menselijke fout bij de opmaak van brieven de burgerservicenummers van 1700 mensen gelekt. De BSN’s waren zichtbaar in het adresvenster van de enveloppe die klanten ontvingen, zo meldt Trouw. Om herhaling te voorkomen gaat DUO onderzoeken of het wettelijk mogelijk is om burgerservicenummers te verwijderen uit de brieven die het verstuurt.

De uitvoeringsinstantie heeft het datalek inmiddels bij de Autoriteit Persoonsgegevens gemeld. Ook hebben alle gedupeerden een excuusbrief ontvangen. Volgens DUO is het datalek “vervelend”, maar is de kans dat mensen door het lekken van hun burgerservicenummer, naam en adresgegevens slachtoffer van identiteitsfraude worden klein.

“Het BSN is een zogenoemd ‘informatieloos’ nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Wel is het verstandig om alert te zijn op misbruik”, aldus een woordvoerder. Ook de Fraudehelpdesk stelt dat het risico op identiteitsfraude met alleen een burgerservicenummer klein is. “Daar kun je niet zo veel mee”, stelt woordvoerster Tanya Wijngaarde.

Lees hier verder. © Security.nl

Datalek in de zorg: 13 (!) stappen om ze te voorkomen

Uit cijfers van de Autoriteit Persoonsgegevens (AP) bleek dat de zorgsector de afgelopen jaren geplaagd wordt door datalekken. Met de recente diefstal bij de GGD is er nu veel aandacht voor datalekken in de sector. Hoe herken je een datalek, welke praktische stappen neem je om het risico op een datalek te verkleinen en hoe reageer je als organisatie op een lek?

In 2019 kreeg het HagaZiekenhuis in Den Haag een boete van een klein half miljoen euro opgelegd, omdat tientallen medewerkers het digitale patiëntendossier van een bekende Nederlander illegaal inzagen. Volgens het laatste jaarverslag van de AP is het aantal (gemelde) datalekken in 2019 met bijna dertig procent gestegen tot maar liefst 27.000. Het rapport laat zien dat de zorg het op één na hoogste aantal meldingen van datalekken had, vergelijkbaar met voorgaande jaren. De meeste (gemelde) datalekken ontstonden ​​doordat persoonsgegevens naar de verkeerde ontvanger zijn gestuurd.

Lees hier verder. © Computable

Datalek: cybercriminelen bieden 3,2 miljard inloggegevens met wachtwoorden en mailadressen aan

Op een forum dat populair is onder hackers is een enorme bundel met 3,2 miljard unieke inloggegevens verschenen. Het gaat om combinaties van mailadressen en wachtwoorden van platformen als Netflix en LinkedIn dat onder de term ‘COMB’ (Combination of Many Breaches) wordt aangeboden.

Details over de gigantische verzameling gestolen inloggegevens werden afgelopen weekend gemeld door het weblog SecurityAffairs. Het zou voor een groot deel gaan over gegevens die bij een aantal oudere datalekken zijn buitgemaakt, maar de exacte aard en omvang van deze nieuwe verzameling inloggegegevens zijn op het moment van publicatie nog niet bekend, anders dan dat het in ieder geval lijkt te gaan om inloggegevens van onder andere Netflix en LinkedIn die na eerdere datalekken op straat kwamen te liggen.

Dit gigantische archief wordt in versleutelde vorm aangeboden in een met een wachtwoord beveiligde datadump, en is verder geheel in alfabetische volgorde geordend in een soort boomstructuur om het zoeken makkelijk te maken. De dump bevat daarnaast ook scripts om e-mailadressen op te kunnen zoeken en de data te kunnen sorteren.

….

Cyberdeskundigen: ‘14% van de gegevens uit de datadump niet eerder openbaar’

….

Wat kun je zelf doen om je accounts veilig te houden?

Lees hier verder. © Opgelicht

Torenhoge boete voor Amsterdams ziekenhuis om schenden privacy patiënten

Het Amsterdamse ziekenhuis OLVG krijgt een boete van 440 duizend euro; het heeft de privacy van patiënten geschonden. Het is de tweede keer dat een ziekenhuis door de Autoriteit Persoonsgegevens wordt bestraft, omdat medewerkers te gemakkelijk konden rondneuzen in medische dossiers. Eerder kreeg het Haagse Haga Ziekenhuis een boete van 460 duizend euro.

Het OLVG krijgt de boete voor een gebrek aan strenge privacymaatregelen tussen 2018 en 2020. Het ziekenhuis controleerde niet vaak genoeg of medewerkers zich onterecht toegang verschaften tot medische dossiers, en had bovendien geen tweefactor-authenticatie ingesteld. Daarom was toegang tot de medische dossiers te gemakkelijk en te slecht beveiligd. 

De zaak in het OLVG kwam aan het rollen door filosofiestudente Laura. Zij had via het flexbureau van het ziekenhuis – een van de grootste van Nederland – een bijbaantje, en merkte al snel dat zij zonder beperkingen de medische dossiers van vriendinnen en bekende Nederlanders kon inzien.

Lees hier verder. © Volkskrant

GGD haalt kennisplatform voor zorgpersoneel offline wegens beveiligingslek

GGD GHOR Nederland heeft het kennisplatform KennisNet wegens een beveiligingslek offline gehaald. Daardoor is informatie voor GGD-medewerkers en zorgpersoneel, zoals werkinstructies, niet meer eenvoudig beschikbaar. Penetratietesters die door het ministerie van Volksgezondheid waren ingeschakeld wisten toegang tot documenten op het platform te krijgen die niet voor hen beschikbaar zouden moeten zijn. Dat laat minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer weten.

Zorgmedewerkers in de publieke gezondheidszorg gebruiken KennisNet voor het uitwisselen van kennis. Het platform bevat onder andere werkinstructies en handleidingen. Naast een publiek toegankelijk deel waren er besloten groepen waar specifieke personen voor toegelaten konden worden. De penetratietesters besloten het systeem op 1 februari aan de tand te voelen. De volgende dag moest minister De Jonge melden dat er toegang tot documenten was verkregen.

Vanwege het beveiligingslek werd het kennisplatform dezelfde dag uitgeschakeld. Acht dagen later is er een forensisch onderzoek gestart om te bepalen of personen toegang hebben gehad tot het systeem die niet tot de doelgroep van dit platform horen. Ook wordt onderzocht of personen toegang hebben gehad tot informatie op het platform die vertrouwelijk is of die niet op het platform gedeeld had mogen worden. “Gezien de aard van dit onderzoek kunnen hierover op dit moment geen verdere mededelingen worden gedaan”, stelt De Jonge.

GGD GHOR, de koepelorganisatie van de GGD’en en GHOR-bureaus, heeft tevens een voorlopige melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. De privacytoezichthouder gaf vervolgens opdracht tot het uitvoeren van een nader onderzoek.

“Door de uitschakeling van de genoemde voorziening is informatie die medewerkers van de GGD nodig kunnen hebben voor hun werk (zoals werkinstructies) nu niet meer eenvoudig beschikbaar. Ik zal GGD GHOR Nederland helpen bij het tijdelijk, op een alternatieve en veilige manier beschikbaar maken van deze informatie”, merkt de minister op. Volgens GGD GHOR is het offline halen van KennisNet vervelend voor gebruikers, maar heeft het geen onoverkomelijke gevolgen voor de bestrijding van het coronavirus.

Lees hier verder. © Security.nl