Datalek Universiteit Twente door verkeerd toegewezen rollen en rechten
De Universiteit Twente (UT) heeft met een datalek te maken gekregen waarbij enkele honderden personeelsleden tijdelijk de persoonsgegevens van alle 3500 UT-medewerkers konden inzien. Het ging onder andere om geboortedata, bankrekeningnummers, e-mailadressen, data van indiensttreding, medewerker-type en functie. Het datalek ontstond door de uitrol van nieuwe financiële administratiesoftware, waarbij rollen en gebruikersrechten verkeerd waren toegewezen.
"Daarbij is één vinkje te veel aan- of uit gezet, waardoor veel meer mensen dan de bedoeling was inzicht hadden in die gegevens”, laat finance-directeur Dennis van Zijl aan Tubantia weten. "Zodoende zijn er veel rollen tegelijkertijd opengezet, waar dat niet de bedoeling was. Dat heeft niet zozeer met de software te maken, dit had met ieder systeem kunnen gebeuren."
In de periode dat de rollen en rechten verkeerd waren toegewezen hebben maximaal 116 UT-medewerkers op het systeem ingelogd. Hoeveel daarvan gegevens van andere medewerkers hebben bekeken is onbekend. De universiteit heeft het datalek bij de Autoriteit Persoonsgegevens gemeld, meldt U-Today, een magazine over de UT.
Als je strikt naar de AVG kijkt heeft vrijwel iedere organisatie continu een datalek. Alleen al als het gaat om het zonder geldige verwerkersovereenkomst laten verwerken van persoonsgegevens door externe partijen, vallen veel organsiaties door de mand.
Dat is inderdaad hoe de AVG geinterpreteerd moet worden .
Ik merk bij mezelf als een zekere "lek-moeheid" , als er weer een nieuwskop is van "datalek" dat van dit type non-probleem is.
(net zo goed als "kankerverwekkend-moeheid" , als weer iemand een minimaal effect op labratjes bij een enorme overdosering van de een of andere eetwaar hyped in de media. ). Known to cause California in the state of Cancer.
Je weet niet welk fouten in rechten toegang er allemaal in het systeem zitten. Met jouw interpretatie moet dan altijd meteen van alles gemeld worden. Hoeveel meldingen denk je dat dat zal geven?
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3434-1-1 heeft geen interpretatie / richtlijn. Je komt bij:
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1489-1-1
(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;
Als dat zo is dan is dit deel van de GDPR een faal door de aanname dat perfectie mogelijk zou zijn.
https://www.utwente.nl/en/cyber-safety/news/2022/5/620523/report-of-unit4-data-breach
Ik merk bij mezelf als een zekere "lek-moeheid" , als er weer een nieuwskop is van "datalek" dat van dit type non-probleem is.
Het leidt de aandacht af van de echte problemen en laat iedereen zijn tijd verkwisten aan de triviale problemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
