Nieuws

Provincies meldden vorig jaar 91 datalekken bij toezichthouder

zondag 17 maart 2019, 08:48 door Redactie, 8 reacties

Nederlandse provincies hebben vorig jaar 91 datalekken bij de Autoriteit Persoonsgegevens gemeld. Bijna een verdubbeling ten opzichte van 2017 toen het nog om 52 gemelde datalekken ging. Het gaat dan bijvoorbeeld om een medewerker van personeelszaken die de salarisgegevens van 180 medewerkers van de provincie Friesland naar tien managers stuurde.

Dit blijkt uit onderzoek van Reporter Radio in samenwerking met dagblad De Limburger, de Leeuwarder Courant en Omroep Gelderland. Friesland was vorig jaar met zestien gemelde datalekken koploper, gevolgd door (Noord-Brabant 14) en Drenthe (13). Zeeland (1) en Gelderland (2) staan onderaan de lijst.

Limburg informeerde de Autoriteit Persoonsgegevens zes keer over een datalek. De datalekken hadden op 2500 mensen betrekking, terwijl dat er een jaar eerder nog enkele honderden waren. Dit kwam mede door het verlies van een paar werktelefoons waar standaard veel contactgegevens in staan. Gedeputeerde Ger Koopmans stelt dat dit soort datalekken nooit helemaal zijn te voorkomen. "Zeker niet in een omgeving waarin met veel persoonsgegevens wordt gewerkt. De devices worden na verlies of diefstal onmiddellijk op afstand gewist."

De Autoriteit Persoonsgegevens noemt de verschillen tussen de provincies opmerkelijk. Wat ook opvalt is een stijging van het aantal geregistreerde datalekken, maar dat er minder bij de toezichthouder wordt gemeld. Vorig jaar werd 26 procent van de datalekken gemeld tegenover 46 procent een jaar eerder. "Uit de informatie van het Wob-verzoek ontstaat de indruk dat sommige datalekken ten onrechte niet zijn gemeld bij de AP. Alleen als vaststaat dat informatie versleuteld is hoeft een datalek niet gemeld te worden", aldus Reporter Radio.

Meeste datalekken overheid door verkeerd geadresseerde post

Draadloos Fujitsu-toetsenbord kwetsbaar voor injectieaanval

Reacties (8)

17-03-2019, 10:11 door karma4

Alleen als vaststaat dat informatie versleuteld is hoeft een datalek niet gemeld te worden", aldus Reporter Radio.

Daar zit die reporter gewoon fout, helaas gaat zo'n fout verhaal wel een heel eigen leven leiden.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf
Het zou misschien wel eens kunnen zijn dat … is een heel slechte onderbouwing voor een schuldvraag.
Ik dacht de meesten hier een voorstander zijn van je bent onschuldig totdat het tegendeel bewezen is.

17-03-2019, 13:55 door Anoniem

Door karma4:
Ik dacht de meesten hier een voorstander zijn van je bent onschuldig totdat het tegendeel bewezen is.

Behalve natuurlijk als je voor privacy bent... dan ben je een crimineel!

17-03-2019, 14:16 door [Account Verwijderd]

Door karma4:

Alleen als vaststaat dat informatie versleuteld is hoeft een datalek niet gemeld te worden", aldus Reporter Radio.

Daar zit die reporter gewoon fout, helaas gaat zo'n fout verhaal wel een heel eigen leven leiden.

Die reporter zit gewoon goed, echter met de kanttekening dat er een backup of kopie van de gelekte versleutelde gegevens beschikbaar is. Begrijpend lezen van de tekst uit nota bene jouw link (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf). De betreffende passage is als volgt:

Indien persoonsgegevens in wezen onbegrijpelijk zijn gemaakt voor onbevoegde partijen en indien de gegevens een kopie zijn of er een back-up van bestaat,is het bijgevolg mogelijk dat een inbreuk op de vertrouwelijkheid waarbij naar behoren versleutelde persoonsgegevens zijn betrokken niet aan de toezichthoudende autoriteit hoeft te worden gemeld. Het is namelijk onwaarschijnlijk dat een dergelijke inbreuk een risico voor de rechten en vrijheden van natuurlijke personen vormt.

Door karma4:Het zou misschien wel eens kunnen zijn dat … is een heel slechte onderbouwing voor een schuldvraag. Ik dacht de meesten hier een voorstander zijn van je bent onschuldig totdat het tegendeel bewezen is.

Luchtfietserij op basis van een verkeerd uitgangspunt dat is ontstaan door slecht lezen.

17-03-2019, 16:05 door karma4 - Bijgewerkt: 17-03-2019, 16:07

Door Kapitein Haddock:

Die reporter zit gewoon goed, echter met de kanttekening dat er een backup of kopie van de gelekte versleutelde gegevens beschikbaar is. Begrijpend lezen van de tekst uit nota bene jouw link (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf). De betreffende passage is als volgt:

Indien persoonsgegevens in wezen onbegrijpelijk zijn gemaakt voor onbevoegde partijen en indien de gegevens een kopie zijn of er een back-up van bestaat,is het bijgevolg mogelijk dat een inbreuk op de vertrouwelijkheid waarbij naar behoren versleutelde persoonsgegevens zijn betrokken niet aan de toezichthoudende autoriteit hoeft te worden gemeld. Het is namelijk onwaarschijnlijk dat een dergelijke inbreuk een risico voor de rechten en vrijheden van natuurlijke personen vormt.

..
Luchtfietserij op basis van een verkeerd uitgangspunt dat is ontstaan door slecht lezen..

ik lees uitstekend

Dienovereenkomstig is in de AVG bepaald dat de verwerkingsverantwoordelijke verplicht is een inbreuk aan de bevoegde toezichthoudende autoriteit te melden, tenzij het onwaarschijnlijk is dat de inbreuk zal leiden tot het risico dat dergelijke nadelige effecten zich voordoen. Wanneer het risico dat deze nadelige gevolgen zich voordoen waarschijnlijk groot is, is de verwerkingsverantwoordelijke krachtens de AVG verplicht om de inbreuk zo snel als redelijkerwijs haalbaar is aan de getroffen personen mee te delen18.

Luchtfietserij op basis van een verkeerd uitgangspunt dat is ontstaan door slecht lezen.[/quote]
Er staat nergens in de AVG dat het vinkenlijstje is: encryptie=good, not encrypted=bad. Er staat dat een overweging gemaakt moet worden. Nu is het kunnen lezen van een adres tegenwoordig ook al en datalek.
Elke brief moet gemeld worden als datalek want iemand zou het onderweg kunnen zien.

Doen we dat in het verkeer, jij kan niet bewijzen dat je ergens niet te hard gereden hebt. Uit voorzorg omdat je het niet kan aantonen moet elke verplaatsing als snelheidsovertreding aangemerkt worden.
Aangezien je naam op en alcoholprobleem duidt wordt elke openbare verplaatsing als openbare dronkenschap aangemerkt. Wel zo makkelijk als je het niet zeker weet.

17-03-2019, 20:20 door Anoniem

Weet je wat suf is? Dat met het afschaffen van de dienstplicht, nooit iemand heeft gedacht om dan iedereen een jaar of twee te verplichten om als ambtenaar te werken. En te proberen dat goed te doen voor iedereen, zelfs mensen die je helemaal niet moet.

17-03-2019, 20:35 door [Account Verwijderd]

Door karma4: <knip> Er staat nergens in de AVG dat het vinkenlijstje is: encryptie=good, not encrypted=bad. Er staat dat een overweging gemaakt moet worden. <knip>

Inderdaad. En die overweging zal in de praktijk vrijwel altijd uitvallen zoals die journalist beschreef. Namelijk dat geen aangifte gedaan hoeft te worden. Want de versleutelde gelekte gegevens zijn niet leesbaar en in de praktijk zal het om een kopie gaan of is er een backup van de gegevens.

18-03-2019, 07:14 door karma4

Door Kapitein Haddock: Inderdaad. En die overweging zal in de praktijk vrijwel altijd uitvallen zoals die journalist beschreef. Namelijk dat geen aangifte gedaan hoeft te worden. Want de versleutelde gelekte gegevens zijn niet leesbaar en in de praktijk zal het om een kopie gaan of is er een backup van de gegevens.

Een adres op een brief die geencrypt is? een bezorger aan de deur die even verkeerd zit. Genoeg voorbeelden dat er datalekken ontstaan door een effect waarbij er verder geen onderliggende gegevens verspreid zijn.
De uitspraak dat het altijd gencrypt moet zijn is onwaar. Probeer eens die eis aan een backup of DR locatie te stellen of.
Dat gaat namelijk niet. backups open op internet is weliswaar gangbaar (oss hoek mongo elastic etc) maar echt niet goed..

18-03-2019, 07:33 door [Account Verwijderd]

Door karma4:

Vergezocht en in de praktijk vrijwel nooit aan de orde.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer