image

Helft datalekken bij gemeenten niet gemeld bij toezichthouder

zaterdag 28 januari 2017, 14:44 door Redactie, 8 reacties

Hoewel bedrijven, gemeenten en organisaties sinds 1 januari 2016 verplicht zijn om datalekken bij de Autoriteit Persoonsgegevens te melden blijkt dit vorig jaar bij de helft van alle datalekken bij gemeenten niet te zijn gebeurd. Dat meldt Reporter Radio aan de hand van eigen onderzoek.

Bij twee derde van de datalekken werd het Burgerservicenummer (BSN) gelekt en in 90 procent van de gevallen naam en adresgegevens. Verder blijkt dat bij 82 procent van de datalekken burgers niet zijn ingelicht. In veel gevallen worden de datalekken veroorzaakt door verkeerd verzonden e-mails. Ook zijn onbeveiligde formulieren op gemeentesites, malware en phishing oorzaak dat gegevens in handen van derden komen. De Autoriteit Persoonsgegevens zegt dat het naar aanleiding van de onderzoeksresultaten overweegt om naar de onderzochte gemeenten nog een keer een brief te sturen waarin de meldplicht wordt uitgelegd.

Reacties (8)
28-01-2017, 14:51 door Anoniem
Eindhoven maakt het nog mooier:

Eindhoven noteerde afgelopen jaar in het totaal 17 datalekken. Van drie zwaardere gevallen werd de toezichthouder in kennis gesteld. Welke gevallen zich afgelopen jaar precies hebben voorgedaan, weigert de gemeente te zeggen.
28-01-2017, 15:23 door Anoniem
Ik zou niet vreemd opkijken dat dit geld voor allerlei soorten blunders en missers in de gehele landelijke politiek.
Eerst kijken of het onder de pet gehouden kan worden,zo niet dan feiten verdraaien/verdoezelen.
Het is dat er af en toe wat stront komt bovendrijven als een journalist wat te ijverig in de beerput aan het roeren is.
28-01-2017, 15:28 door Anoniem
Uit het onderzoek van Reporter Radio blijkt dat bij twee derde van de datalekken het Burger Service Nummer (BSN) is gelekt en in 90% naam en adres gegevens. Opmerkelijk is dat bij 82% van de datalekken, betrokken burgers niet ingelicht zijn.
Een datalek is de situatie waarin persoonsgegevens onvoldoende beschermd zijn. Voorbeelden zijn zoek raken van beveiligde datadragers, foutieve configuratie van rechten bij een personeelsfunctie en technische lekken die uit onderzoek blijven.
Is een organisatie in al die gevallen verplicht om burgers in te lichten? Nee.

Volgens de Autoriteit Persoonsgegevens is dat inlichten van burgers alleen nodig als er een aannemelijke kans is dat burgers er last van het lek krijgen. Tot nu toe laat de Autoriteit Persoonsgegevens behoorlijk in het midden wat aannemelijke kans is en of de Autoritiet Persoonsgegevens in die beslissing betrokken moet worden. Wettelijk moet wel iedere situatie die binnen de omschrijving van een datalek bij de AP gemeld worden, maar niet de onderbouwing of burgers geinformeerd moeten worden. Waarschijnlijk kan de AP niet eens betrokken zijn bij de afweging als volgens de melding volgens de letter van de wet bij de AP komt.

Voorbeeld. Gemeente Iostradeel had een lekke website. Een onderzoeker ontdekt dat je met het veranderen van het BSNnummer in het formulier de gegevens van andere burgers kan inzien. De onderzoeker legt het lek uit aan de gemeente en verklaart als bewijs van het lek van 5 andere burgers de gegevens te hebben opgezocht en verder niemand anders in te lichten. De gemeente kijkt in de logbestanden en herkent verder nergens in de afgelopen 5 jaar opvallend gebruik van het formulier. Het log van de database gaat tot 10 weken terug. Dan de melding aan de AP: de gemeente verklaart dat er een datalek is gemeld en dat ze aan de hand van de logbestanden geen aanwijzingen hebben dat het aannemelijk is dat de persoonsgegevens door meer personen zijn ingezien dan de onderzoeker. Volgens dit voorbeeld hangt het van verdere actie van de AP af of een gemeente een dwang krijgt om burgers te informeren. Als de AP dan niet zo slim is om op te merken dat de POST-resquests niet zijn opgeslagen en genoegen neemt dat 10 weken aan SQL logging voldoende is om te bepalen of er misbruik is gemaakt dan zal die melding naar de burgers er niet komen.

Het proces om te bepalen of burgers naar aanleiding van een datalek ingelicht moeten worden is geheel niet transparant. Er valt voor burgers op geen enkele wijze na te gaan of en welke onderbouwing er is om te bepalen of een organisatie de burgers / klanten moet inlichten. Doordat de afweging ook nog praktisch in handen is van de organisatie die er het minste bij te winnen heeft om het lek aan de burgers te melden laat het zich raden hoe het komt dat veel lekken niet bij de burgers / klanten gemeld worden.
28-01-2017, 15:32 door Anoniem
Het makkelijke in deze situatie is dat deze gegevens over de overheid boven tafel te halen zijn met publieke informatie en anders wob-verzoeken. Maar de meeste persoonsgegevens zitten niet bij 400 gemeenten maar bij een miljoen bedrijven, waar geheel geen transparantie verplicht is op het gebied van afwegen waarom ze hun klanten niet informeren, of zelfs de AP niet.
28-01-2017, 18:16 door Anoniem
Anoniem 15:32: Fout. Alle persoonsgegevens zitten (eigenlijk per definitie, en verplicht) bij de gemeenten.

Verdiep je eens in de wetgeving, en dan vooral in de komende wetgeving, de GDPR (mei 2018). Dan zul je zien dat die transparantie er aan komt. De boete bedragen bij verlies van gegevens zijn dusdanig hoog dat bedrijven het wel uit hun hoofd laten om lekken niet te melden (het komt namelijk vaak uit doordat de gegevens worden gevonden...).
28-01-2017, 21:37 door Anoniem
In veel gemeenten hebben woningbouwvereningen direct inzage in de persoonsgegevens van ALLE burgers. Dus wat is nu een datalek als medewerkers van commerciële bedrijven (want naast sociale woningbouw zijn ook vele WBV projectontwikkelaars) bij de gegevens van alle burgers kunnen.
29-01-2017, 17:18 door Anoniem
Door Anoniem: Voorbeeld. Gemeente Iostradeel had een lekke website.
Iostradeel? Als ik op die naam zoek kom ik alleen jouw commentaar tegen. Welke gemeente bedoel je? Of is dit een fictief voorbeeld? Beschrijf je je eigen aannames over hoe zoiets gaat?
Het proces om te bepalen of burgers naar aanleiding van een datalek ingelicht moeten worden is geheel niet transparant.
Het beleidsdocument van AP beschrijft behoorlijk gedetailleerd hoe dat beslissingsproces loopt, en het is voor iedereen toegankelijk. Wat is daar niet transparant aan?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf
Er valt voor burgers op geen enkele wijze na te gaan of en welke onderbouwing er is om te bepalen of een organisatie de burgers / klanten moet inlichten.
In het algemeen staat dat in dat beleidsdocument van AP. In specifieke gevallen kan je het probleem hebben als iets wat wel degelijk gemeld had moeten worden door een gemeente of een bedrijf wordt stilgehouden. Daar moet je lucht van krijgen voor je erop kan reageren, dat is helaas niet anders, maar alles wat bewust wordt stilgehouden is per definitie niet transparant, daar doe je niets aan. Dat ligt niet aan het proces waaraan je refereert, dat ligt aan het negeren van dat proces en dan breekt er wel iemand de wet.

En dan nog zijn je mogelijkheden niet uitgeput. Als je weet dat er iets gaande is kan je AP inseinen via hun tipformulier (https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons), en je kan ook naar de media stappen zodat het opeens in de schijnwerpers gezet wordt.
30-01-2017, 08:26 door Anoniem
Een brief sturen? En ieder ander bedrijf direct aanklagen voor 10% van de internationale omzet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.