Veel datalekken gemeente Haarlem door verloren mobiele apparaten
Veel datalekken waar de gemeente Haarlem vorig jaar mee te maken kreeg zijn het gevolg van verloren mobiele apparaten. Andere oorzaken die geregeld voorkomen zijn het verkeerd adresseren van brieven of e-mail en het publiceren van niet geanonimiseerde stukken. Dat staat in het rapport over 2023 van de Functionaris Gegevensbescherming (pdf).
Vorig jaar werden er veertig datalekken gemeld, net iets meer dan de 38 incidenten in 2022. In vijftien gevallen werd een datalek bij de Autoriteit Persoonsgegevens (AP) gemeld. Dat is ongeveer twee keer zoveel als in eerdere jaren. "De redenen voor melding zitten in gevoeligheid en of veelheid van de gegevens waar het om gaat. Daarnaast zijn er ook meldingen gedaan op verzoek van betrokkene of voor het geval er vragen zouden worden gesteld", aldus de Functionaris Gegevensbescherming.
De toename van het aantal meldingen aan de Autoriteit Persoonsgegevens ten opzichte van voorgaande jaren ligt volgens de Functionaris Gegevensbescherming in de strengere lijn die inmiddels gevolgd wordt. "Alles wordt gemeld tenzij het privacyrisico echt verwaarloosbaar is." Verder blijkt dat relatief veel (mogelijke) datalekken het gevolg zijn van een verloren mobiel apparaat. Dat was in twaalf meldingen het geval. Andere oorzaken die geregeld voorkomen zijn het verkeerd adresseren van een brief of e-mail en het publiceren van niet geanonimiseerde stukken.
Vorige maand heeft de gemeente Haarlem op het eigen intranet een 'meldknop' geïntroduceerd die het eenvoudiger voor medewerkers moet maken om melding van een datalek te doen. De meldknop was oorspronkelijk al voorzien in 2020 en werd uitgesteld naar 2022. Vorig jaar had de knop al gereed moeten zijn, maar die is pas vorige maand uitgerold. "De knop moet het gemakkelijker maken om een melding te doen en introductie ervan biedt ook een moment om aandacht te besteden aan het belang van melden", zo stelt de Functionaris Gegevensbescherming van de gemeente.
Ook in de zorg staan er vaak foto's van patienten op deze mobieltjes, vaak worden deze dingen overal neergelegd en achyergelaten, zeker als die dingen een dagje ouder worden, het is zeer nalatig.
Vaak is het niet eens opzettelijk nalatig, maar gewoin een gebrek aan kennis over het gevaar en privacy.
Sorry, maar wat is dit voor een sensatie zoekende kop op dit artikel?
Sorry, maar wat is dit voor een sensatie zoekende kop op dit artikel?
Staat letterlijk in FG rapport: "Relatief veel (mogelijke) datalekken zijn het gevolg van een verloren mobiel apparaat"
Opzet hoeft niet per se, het spul is zo klein dat je het makkelijk kwijt raakt.
Werken op desktop computers was zo gek nog niet. Groter scherm, betere invoer door muis en toetsenbord, en zo maar per ongeluk kwijtraken was uitgesloten door het grote formaat. Werk en privé bleef ook veel beter gescheiden in de desktop periode, de werkmachines stonden op de werkvloer en bleven daar. Wat mij betreft ideaal.
Sorry, maar wat is dit voor een sensatie zoekende kop op dit artikel?
Staat letterlijk in FG rapport: "Relatief veel (mogelijke) datalekken zijn het gevolg van een verloren mobiel apparaat"
Dus dan is de conclusie van de FG ook vooral het zoeken van spijkers op laag water. Want als dit indicatief is voor de relatieve problemen, dan is er eigenlijk weinig aan de hand. Wat is de nieuwswaarde dan voor security.nl?
Ook in de zorg staan er vaak foto's van patienten op deze mobieltjes, vaak worden deze dingen overal neergelegd en achyergelaten, zeker als die dingen een dagje ouder worden, het is zeer nalatig.
Vaak is het niet eens opzettelijk nalatig, maar gewoin een gebrek aan kennis over het gevaar en privacy.
Werk gerelateerde data op een prive device is altijd nalatig. Zowel vanuit de werkgever als ook vanuit de werknemer, De werkgever heeft namelijk niet de moeite (vanwege kosten) genomen om policies en procedures in te richten en na te leven om dit te voorkomen en blijkbaar ook niet de devices vanuit werkgever beschikbaar gesteld om dit te voorkomen. Het nalatigheid vanuit de werknemer is dat deze dus, zonder grondslag, data op een prive device zet en, in sommige gevallen ook nog eens onversleuteld en onbeveiligd achter laat.
Nu zullen er mensen zijn die zeggen, "ja maar ik moet ook thuis kunnen werken". Dan is het antwoord "Als je thuis moet werken met data van werkgever, dan op device van werkgever". En dit device is ook beschermd en ingericht door de werkgever. Geen device werkgever, geen werk mee naar huis. Zo eenvoudig is het. Dan zullen er werkgevers zijn die zeggen "ik ga toch geen laptop voor die 4 uurtjes per maand thuis werken aanschaffen", dan kan je je ook afvragen, als het maar 4 uur per maand is, waarom dan thuiswerken.
En heel veel bedrijven begrijpen niet dat het misschien wel eens goedkoper is om iedereen een laptop beschikbaar te stellen met de juiste beveiliging, die men thuis en op kantoor gebruikt als dagelijkse werkplek.
En dat is niet alleen de gemeente Haarlem, de meeste gemeentes melden allerlei zaken die helemaal niet gemeld hoeven te worden.
Maar dat is makkelijker voor ze want dan hoeven ze er niet over na te denken.
Het is voor bedrijven tegenwoordig heel simpel om mobiele apparaten goed te beschermen. Altijd encrypted opgeslagen en verplichte pincodes. En op afstand laten wissen bij diefstal is ook heel normaal.
Die verloren mobieltjes hoef je dus ook niet te melden bij de AP en zijn volgens de regels van de AP niet eens een datalek.
De kop had moeten zijn: Gemeente Haarlem veroorzaakt onnodig werk bij de AP.
-Het gaat om 'mogelijke' datalekken. Ik verwacht eigenlijk dat men daar een MDM of MAM heeft, waarmee toestellen remote beheerd kunnen worden, waarmee bedrijfsdata bijv. achter een aparte login zit, of dat een toestel remote te wipen is;
-Een toename in meldingen kan diversen oorzaken hebben, o.a.:
=Hogere bewustwording: Er is aandacht (geweest), om verlies van een device z.s.m. te melden;
=Makkelijker melden: De Red Button (met een klik, zonder zoeken iets kunnen melden);
=Alles wordt gemeld, ook onjuist geadresseerde post, per abuis dubbelzijdige geprinte & verzonden formulieren met persoonlijke gegevens, etc.;
=Er zijn meer devices uitgereikt/in gebruik genomen.
Ik snap overigens niet helemaal hoe privé devices ineens opduiken hier, daar wordt in het artikel nergens over gesproken? En ja, er zijn prima oplossingen beschikbaar om veilig een beheerde en afgeschermde omgeving op een prive device op te zetten.
Stellen dat een werkgever dan 'nalatig' is, is een totaal onjuiste conclusie, en verteld vooral dat diegene waarschijnlijk niet veel kennis heeft over dit soort beheerde omgevingen.
Het blijft troep.
Geen bankieren, waarom ot je dat de hele dag bij je hebben?
laat dat ding thuis als het kan
Wordt er zoveel mogelijk onafhankelijk van in plaats van verslaafd.
Niet iets om trot op te zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist SOC
AIVD
Als security analist werk je mee om de relevante logging- en dreigingsinformatie binnen het SOC beschikbaar te maken. Ben je net afgestudeerd en wil je je verder ont-wikkelen op het gebied van cyber security? Wil jij aan de hand van cyber threat intelligence op jacht naar de meest ge-avanceerde aanvallers? Dan is ons Security Operations Center de plek voor jou!
Senior Security Analist SOC
AIVD
Als senior security analist SOC analyseer je de security monitoring data die we op ons platform verzamelen en ontwikkel je detectie use-cases die wijzen op verdacht gedrag op onze netwerken en systemen. Heb je veel netwerk, sysadmin of software development-ervaring, met een wens je richting security te ontwikkelen? Dan is ons Security Operations Center de plek voor jou!
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.