image

Assen lekt gegevens 530 mensen door verkeerd e-mailadres

maandag 29 april 2019, 16:29 door Redactie, 10 reacties

De gemeente Assen heeft door het versturen van een e-mail naar een verkeerd adres de gegevens van 530 mensen gelekt. Het gaat om een e-mail die door de afdeling Toezicht en Handhaving "per ongeluk" naar een onbekend privé e-mailadres werd gestuurd, zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten (pdf). De e-mail bevatte een Excel-bestand met de persoonsgegevens van 530 mensen.

Deze gegevens hebben betrekking op lopende en verlopen gebiedsontzeggingen en daarmee samenhangende waarschuwingen, aldus de brief. De gemeente heeft meerdere keren geprobeerd om in contact te komen met de ontvanger om de documenten te laten verwijderen, maar zonder succes. Het datalek is door de gemeente Assen bij de Autoriteit Persoonsgegevens gemeld.

Tevens gaat de gemeente alle getroffen personen deze week waarschuwen. Uit onderzoek blijkt dat van de 530 adressen er 500 actueel zijn. Voor de overige 30 betrokkenen geldt dat er vijf zijn overleden, zes zijn geëmigreerd en vier personen geen vaste woon of verblijfplaats hebben. De resterende vijftien personen zijn niet te traceren. "Dit komt door de foutieve combinatie van volledige naam en geboortedatum", aldus de gemeente.

Volgens de burgemeester en wethouders is een menselijke fout de oorzaak van het incident. "Zoals vaak bij datalekken het geval is. Om dit soort fouten in de toekomst te minimaliseren blijven we inzetten op bewustwording. Zo werken we samen verder aan een privacy bewuste organisatie."

Reacties (10)
29-04-2019, 18:35 door Anoniem
Wat is nou de lol van excelbestanden rondmailen? email is geen goed bestandstransportmiddel (en excel een waardeloos formaat om wat-dan-ook uit te wisselen). Dan heb je dus niet een werkbare infrastructuur voor dit soort dingen en dat maakt "foutjes" zoveel makkelijker. Daar helpt "bewustwording" maar heel beperkt tegen.
29-04-2019, 19:32 door karma4
5% zou statistisch relevant moeten zijn. Hypothese de bij gemeentes wat betreft BRP mGBA is onbetrouwbaar.
als meer dan 5% van de 530 fout is dan die hypothes waar. Dat betekent dat als er meer dan 26.5 foutief zijn.
vijf overleden, 6 geëmigreerd, 15 niet traceerbaar, 4 geen adres = 30. Hypothese waar, er moet hoognodig wat aan de administratie gedaan worden.. Nog los daarvan: dit soort adressering horen in een database (gecontroleerd), niet in Excel.
29-04-2019, 19:44 door Anoniem
Hoe is het in vredesnaam mogelijk dat vandaag de dag dit soort informatie nog via e-mail verstuurd kan/mag worden.
29-04-2019, 22:01 door Anoniem
Door karma4: 5% zou statistisch relevant moeten zijn. Hypothese de bij gemeentes wat betreft BRP mGBA is onbetrouwbaar.
als meer dan 5% van de 530 fout is dan die hypothes waar. Dat betekent dat als er meer dan 26.5 foutief zijn.
vijf overleden, 6 geëmigreerd, 15 niet traceerbaar, 4 geen adres = 30. Hypothese waar, er moet hoognodig wat aan de administratie gedaan worden.. Nog los daarvan: dit soort adressering horen in een database (gecontroleerd), niet in Excel.
Het gaat hier om ongeveer 8 promile wat is gelekt (van de totale bevolking die bekend is in Assen per 1 januari dit jaar).

Maar afgezien daarvan: je hebt hier niet te maken met een aselecte & representatieve steekproef: er is immers geen steekproef gehouden. Bovendien weet je immers daardoor niet of er meer gevallen zijn die bijvoorbeeld onder de statistische radar zijn gebleven. Je kunt niet zomaar even een Normale Verdeling of welke Verdeling dan ook gaan toepassen met een Ho-hypothese zonder enig onderzoek naar die Verdeling, en dan komen stellen dat een bepaald percentage wel in het 5% uitzonderingsgebied zal vallen. Zo werkt mathematische statistiek niet.
30-04-2019, 03:22 door Anoniem
Door Anoniem: Hoe is het in vredesnaam mogelijk dat vandaag de dag dit soort informatie nog via e-mail verstuurd kan/mag worden.

Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).

SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.
30-04-2019, 09:20 door Anoniem
Door Anoniem:
Door Anoniem: Hoe is het in vredesnaam mogelijk dat vandaag de dag dit soort informatie nog via e-mail verstuurd kan/mag worden.

Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).

SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.

In de wet staat geen verbod op het versturen van gegevens via de e-mail. Encryptie helpt niet tegen domme gebruikers.
30-04-2019, 09:41 door Anoniem
Het is nog steeds een datalek als de ontvanger heel lief belooft om de gegevens te verwijderen.
30-04-2019, 11:54 door karma4
Door Anoniem: ...
Maar afgezien daarvan: je hebt hier niet te maken met een aselecte & representatieve steekproef: er is immers geen steekproef gehouden. ….,, wel in het 5% uitzonderingsgebied zal vallen. Zo werkt mathematische statistiek niet.
Ja ik weet het, je hebt gelijk. Het is niet a-select, erger ik zag een resultaat en nam daarmee met alle bias - conclusies.

Dat er bij de BRP, mGBA veel mis is, is wat anders.
Zon situatie als dit dat er een aparte handmatige administratie gedaan wordt kan daar een gevolg van zijn.
30-04-2019, 22:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe is het in vredesnaam mogelijk dat vandaag de dag dit soort informatie nog via e-mail verstuurd kan/mag worden.

Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).

SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.

In de wet staat geen verbod op het versturen van gegevens via de e-mail. Encryptie helpt niet tegen domme gebruikers.

Het gaat niet om zomaar gegevens. Het gaat om persoonsgegevens en daar worden wel degelijk eisen aan gesteld door de AVG.

Er is hier een menselijke fout gemaakt door het naar het verkeerde adres te sturen, maar los daarvan was er al een fout gemaakt door die gegevens ueberhaupt per email te willen sturen. Dat mag niet.
02-05-2019, 12:14 door Anoniem
Zie het rapport van basisbeveiliging -> https://basisbeveiliging.nl/ voor Assen 1
2 hoog risico incidenten, 51 midden risico incidenten en 84 laag risico incidenten,
zie https://basisbeveiliging.nl/#reports

Sinds 9 maanden wordt het certificaat niet meer vertrouwd -
hetgeen een hoog risico met zich brengt.
En allerlei subdomeinen - voorbeeld: http://widocmksp001.assen.nl/ geeft nu een error 404.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.