image

18.000 datalekken gemeld sinds invoering privacywet AVG

donderdag 8 november 2018, 14:50 door Redactie, 14 reacties

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei van dit jaar hebben Europese privacytoezichthouders in totaal 18.000 meldingen van datalekken ontvangen. In de AVG is een meldplicht datalekken opgenomen.

Wanneer een datalek een risico vormt voor de rechten en vrijheden van een individu zijn organisaties verplicht om de betreffende toezichthouder binnen 72 uur na ontdekking van het lek te informeren. Tijdens een evenement van de Information Technology Industry Council in San Francisco over privacy en databescherming liet Andrea Jelinek weten dat er inmiddels 18.000 datalekken bij Europese privacytoezichthouders zijn gerapporteerd. Dat meldt journalist NBCNews-journalist David Ingram op Twitter.

Jelinek is het hoofd van de Europese Databeschermingsraad (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG. De Databeschermingsraad neemt besluiten en publiceert werkdocumenten en opinies met uitleg over de toepassing van de AVG en andere privacykwesties. Ook coördineert de EDPB de samenwerking tussen de Europese toezichthouders, zoals bij het uitvoeren van gezamenlijke onderzoeken.

Reacties (14)
08-11-2018, 15:41 door Anoniem
Dus, we hebben 50 laden in de EU (https://en.wikipedia.org/wiki/Europe#List_of_states_and_territories) en er is 166 dagen verstreken sinds 25 mei. Dat maakt 18.000 / 166 / 50 = 2.1686746988 lekken per dag per land!

Met andere woorden, er wordt nu zeker 2 lekken per dag gemeld en dus veroorzaakt. Dat is toch om te janken. Het lijkt wel normale zaak dat data gelekt wordt.

En dan nog te bedenken dat partijen als Google en FB niet alles willen melden. En dat zullen nog wel meer bedrijven zijn. En er zijn ook nog bedrijven buiten de EU die lekken.

Dus de vraag is nu, wanneer komen er nu boetes? Leuk al deze lekken, maar zonder boetes of gevolgen voor het bedrijf is het dus een totale wassen neus en is het gewoon wachten totdat alles een keer gelekt is.

TheYOSH
08-11-2018, 19:47 door karma4
Door Anoniem: ..er wordt nu zeker 2 lekken per dag gemeld en dus veroorzaakt. Dat is toch om te janken. Het lijkt wel normale zaak dat data gelekt wordt.
...
Dus de vraag is nu, wanneer komen er nu boetes? Leuk al deze lekken, maar zonder boetes of gevolgen voor het bedrijf is het dus een totale wassen neus en is het gewoon wachten totdat alles een keer gelekt is.

TheYOSH
Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig. Met het zelfde bericht kun concluderen dat omdat het zo fantastisch gaat toezicht minder nodig is.
08-11-2018, 20:43 door -karma4 - Bijgewerkt: 08-11-2018, 20:43
Door karma4: Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig.

Héééé karma4! Dat zal dan wel niet het geval zijn, niet? Finit hic AVG.
08-11-2018, 22:49 door karma4
Door The FOSS:
Door karma4: Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig.

Héééé karma4! Dat zal dan wel niet het geval zijn, niet? Finit hic AVG.
Ten eerste laat die gdpr alstublieft zo en die mag best wat strakker gehandhaafd worden op doel intentie. Eens

Dat we met het ap in de huidige aanpak geen goede hebben is wat jammer. Ruimte voor verbetering.
Ik vermoed dat er met het data verzamelen en foutief gebruiken nog heel wat speelt. We horen er alleen weinig over.
Ik maak meer zorgen over wat we niet horen dan de aandacht trekkende gevallen naar de media.
09-11-2018, 00:36 door Anoniem
@ karma 4,

Als er dit nog kan gebeuren, zijn we met of zonder AVG nog ver van huis, net als The FOSS beweren wil, zie:
https://www.security.nl/posting/586189/American+Express+India+lekt+data+690_000+klanten+via+database
De knulligheid van de hack straalde gewoon bij dit gapende gat af.

Met mijn twaalf jaar wbesite security ervaring zie ik nog te veel om echt wat enthousiaster te worden.

Kijk eens voor de lol hier wat SNYK allemaal naar boven haalt aan niet toegepaste security best policies en als beveiligingsrecommendaties geeft: https://webhint.io/scanner/156143f4-58d4-4140-b60e-0a0f8ed804f9#Security

125 beveiligingshints in totaal. Of je een emmer leegkiepert. Ruimte voor verbetering noem je dit, Rijp voor een permanente "Hall of Shame" zul je bedoelen en dan gaat het niet om 1 voorbeeld, er zijn er ook met een paar honderd beveiligheidsaanbevelingen. Natuurlijk in de eerste plaats bij non-professionals op PHP gerelateerdeCMS maar wie houdt die/dit in de gaten? Ook het normale developer-5 koor kan er wat van bakken af en toe. En ik kom regelmatig op de opleidingsinstituten, dus ik weet waar ik over praat. "Af te voeren kwetsbare code?", stamelt de student..."nooit van gehoord, mijnheer, echt bij ons niet bekend hoor". "Wat u eens verkregen heeft, zult ook eens weer af moeten voeren", is dan mijn antwoord.

Leer om te weten, weet om te kunnen en slagen zal je loon zijn.

luntrus
09-11-2018, 07:06 door -karma4
Door karma4:
Door The FOSS:
Door karma4: Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig.

Héééé karma4! Dat zal dan wel niet het geval zijn, niet? Finit hic AVG.
Ten eerste laat die gdpr alstublieft zo en die mag best wat strakker gehandhaafd worden op doel intentie. Eens

Oneens! Die AVG/GDPR verkloot het internet! Veel Amerikaanse sites zijn helemaal niet meer toegankelijk (*) en bij andere sites krijg je gruwelijk irritante nag-screens. En dat allemaal omdat een paar linkse zeikerds vonden dat ze teveel 'targeted' advertising kregen en daarom meenden de 'privacy' op internet te moeten aanpakken :-(

(*) https://www.bbc.com/news/world-europe-44248448
09-11-2018, 07:22 door Anoniem
Blijkbaar zijn dat dus sites die graag data graaien. Mooi, dan had ik er toch niks te zoeken.

Die 18000 is het topje van de ijsberg. Het feit dat een arts 100+ patienten een appje stuurt zal hij nog niet eens als een lek herkennen. En als het onder de pet gehouden kan worden, dan zal dat ook gebeuren.

Daarnaast mag er nog veel en veel te veel volgens de AVG. Het is een heel klein stapje in de goede richting. De volgende mag wat groter zijn en snel komen.
09-11-2018, 09:03 door Anoniem
Door The FOSS:
Door karma4:
Door The FOSS:
Door karma4: Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig.

Héééé karma4! Dat zal dan wel niet het geval zijn, niet? Finit hic AVG.
Ten eerste laat die gdpr alstublieft zo en die mag best wat strakker gehandhaafd worden op doel intentie. Eens

Oneens! Die AVG/GDPR verkloot het internet! Veel Amerikaanse sites zijn helemaal niet meer toegankelijk (*) en bij andere sites krijg je gruwelijk irritante nag-screens. En dat allemaal omdat een paar linkse zeikerds vonden dat ze teveel 'targeted' advertising kregen en daarom meenden de 'privacy' op internet te moeten aanpakken :-(

(*) https://www.bbc.com/news/world-europe-44248448
Oneens!?
En daar is het Europa nu juist om te doen geweest en hebben ze de AVG/GDPR in het leven geroepen. O.a. landen zoals Amerika respecteren op geen enkele wijze de privacy. Dus de AVG/GDPR verkloot het Internet niet maar alle instanties die de privacy van personen nooit hebben gerespecteerd, die hebben het Internet verkloot.
09-11-2018, 09:08 door karma4
Door Anoniem: @ karma 4,
Met mijn twaalf jaar wbesite security ervaring zie ik nog te veel om echt wat enthousiaster te worden.

Kijk eens voor de lol hier wat SNYK allemaal naar boven haalt aan niet toegepaste security best policies en als beveiligingsrecommendaties geeft:..
Leer om te weten, weet om te kunnen en slagen zal je loon zijn.

luntrus
Natuurlijk heb je gelijk Luntrus. Ik zie dat ook gebeuren.
En er zijn zaken waar ze in India wel wat verder zijn bijvoorbeeld met Aadhaar. Ze weten het verschil tussen identificatie en authenticatie. Dat zie ik hier in NL nog als een gemis.
09-11-2018, 09:35 door -karma4
Door Anoniem:
Door The FOSS:
Door karma4:
Door The FOSS:
Door karma4: Als elke verkeerd geadresseerde brief van wie dan ook al als datalek gezien en gemeld wordt dan is die twee per dag voor de hele EU verrassend weinig.

Héééé karma4! Dat zal dan wel niet het geval zijn, niet? Finit hic AVG.
Ten eerste laat die gdpr alstublieft zo en die mag best wat strakker gehandhaafd worden op doel intentie. Eens

Oneens! Die AVG/GDPR verkloot het internet! Veel Amerikaanse sites zijn helemaal niet meer toegankelijk (*) en bij andere sites krijg je gruwelijk irritante nag-screens. En dat allemaal omdat een paar linkse zeikerds vonden dat ze teveel 'targeted' advertising kregen en daarom meenden de 'privacy' op internet te moeten aanpakken :-(

(*) https://www.bbc.com/news/world-europe-44248448
Oneens!?
En daar is het Europa nu juist om te doen geweest en hebben ze de AVG/GDPR in het leven geroepen. O.a. landen zoals Amerika respecteren op geen enkele wijze de privacy. Dus de AVG/GDPR verkloot het Internet niet maar alle instanties die de privacy van personen nooit hebben gerespecteerd, die hebben het Internet verkloot.

De totaal overtrokken AVG/GDPR-reactie op een advertentietoken waarmee naw-gegevens onbekend blijven maar je wel targeted advertenties krijgt vind ik inderdaad gezeik! Wis dan toch gewoon je cookies of browse incognito!
09-11-2018, 09:57 door Anoniem
18.000 is niet verwonderlijk, eerder nogal weinig.

Alles wat een datalek 'kan' zijn moet gemeld worden.
- Encrypted laptop/telefoon gestolen waar wellicht 'iets' op staat -> melding potentieel datalek.
- Virus op een laptop? -> potentieel datalek
- Enz.

Bedrijven melden liever teveel, gezien de boete als je iets niet meld.
09-11-2018, 12:08 door Anoniem
@karma4,

Hoe vaak hebben we de feitelijkheid hier al niet aangekaart, dat de digitale infrastructuur veel weg heeft van het oerwoud van Tjilatjap (vanouds bekend staand als een "creepy place"). Wat met de invloed op de veiligheid door de vele pakketten op elkaar, waarbij de eigen beveiligingsmechanismen te doorbreken zijn, bijvoorbeeld via "type manipulation"?

Kijk eens op de DOM XSS Security Wiki naar jQuery knockout.JS applyBindings als "sink knock-out"
code] .$(location.hash) [/code] Vanwege de bug in versie 1.9.1. "element.add (user content) append" en vele andere voorbeelden, zoals het voortdurend moeten updaten van oudere outdated retirable versies bij angular.js.

Ik zie daar nauwelijks vooruitgang of veiligheidswinst geboekt gaan worden. Dit door de situatie van de "getrainde aapjes", die het zouden moeten gaan doen en de tijddruk waaronder ze moeten werken. Bovendien vanwege het feit, dat ze nauwelijks onder in de boom verzet kunnen bieden aan het kader hoger op in de boom. Een hoger kader, dat gespeend van de nodige relevante kennis op basis van commercieel ingegeven adviezen, de beslissingen nemen.

Het code-oerwoud van Tjilatjap blijft derhalve verstikkend en dicht en bovenal gevaarlijk vol met dozenschuivers en one-click-oplossing uitbaters. Deze CEO-manager-krokodillen houden het code-moeras voorlopig onveilig genoeg.
Waarvan akte,

luntrus
10-11-2018, 10:00 door karma4
Door The FOSS:
Oneens! Die AVG/GDPR verkloot het internet! Veel Amerikaanse sites zijn helemaal niet meer toegankelijk (*) en bij andere sites krijg je gruwelijk irritante nag-screens.
..
Die bedrijven en sites, ze hebben de neiging de wetgeving met de rechten van de privacy te traineren. Dat doen ze bijvoorbeeld door niet nodige popups te tonen en dan te beweren dat het wettelijk verplicht is.
Het is zeer triest dat er zoveel zijn die dat bespelen van opinie niet door hebben. Je post is een prima voorbeeld daarvan.

Lees het artikel in je link:
- "News sites within the Tronc and Lee Enterprises media publishing groups were affected".
Kijk eens goed naar het nieuws waar al jaren een centralisatie van macht gaande is.
https://en.wikipedia.org/wiki/Concentration_of_media_ownership
https://en.wikipedia.org/wiki/Lee_Enterprises en https://en.wikipedia.org/wiki/Tribune_Publishing
Dan zie je een verdienmodel.
"That day, chief technology officer Malcolm CasSelle and chief digital officer Anne Vasquez announced to employees initiatives in content optimization, machine learning, artificial intelligence, and increasing the amount of video to 50% of all content by 2017, in an effort to increase reader engagement and ad revenu"
Niets van open informatie, kritische journalisme, gewoon tracking en zoveel mogelijk aan lezers zien te verdienen.
Ja dan is een mogelijke boete vanuit de EU een risico dat je wil uitsluiten. Duidelijk niets aan verloren hoewel het zonde is van de goede journalisten die daar hun broodwinning hebben.

- "The new rules come amid growing scrutiny about how major tech companies like Google and Facebook collect and use people's personal information."
Die kenden we al. Het recht om vergeten te worden vond Google voldoende als het via regio-binding gedaan werd. Niet fundamenteel correct op een open eerlijke manier, maar stiekem verborgen wel indexeren en elders op de wereld aanbieden alleen niet in jouw bubble tonen. Het is jouw voorbeeld hoe goed ze wel niet zijn. Ik vind het zeer onethisch.
10-11-2018, 10:04 door karma4
Door Anoniem: @karma4,

Hoe vaak hebben we de feitelijkheid hier al niet aangekaart, dat de digitale infrastructuur veel weg heeft van het oerwoud van Tjilatjap (vanouds bekend staand als een "creepy place"). Wat met de invloed op de veiligheid door de vele pakketten op elkaar, waarbij de eigen beveiligingsmechanismen te doorbreken zijn, bijvoorbeeld via "type manipulation"?
...

luntrus

Niets tegen in te brengen, ofwel ik ben het met je eens.
Dat ik op het andere technische vlakken zie gebeuren en niet zo diep in jouw technische achtergrond zit maar in andere gebieden zit is veel zorgelijker dan geruststellend. Het beeld van een meer algemeen patroon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.