De meest opvallende datalekken van 2018

3 min lezen - gepubliceerd op 21 juni 2018

Bij een datalek loopt je organisatie het risico op een flinke boete. Maar wat minstens zo vervelend is: door een datalek schitteren in het nieuws! In 2017 was er sprake van meer dan 10.000 datalekken in Nederland. Het zal je dus niet verbazen dat er in de eerste helft van 2018 alweer heel wat zijn voorgevallen. En hoewel datalekken niet uitzonderlijk zijn (74 procent van de Nederlandse bedrijven heeft ermee te maken gehad), worden ze toch regelmatig breed uitgemeten in de media. Reden te meer om het lekken van gevoelige gegevens koste wat het kost te willen vermijden.

Gelukkig kun je van fouten leren, ook van die van anderen. Daarom bespreken wij kort de datalekken die de afgelopen maanden onze aandacht trokken:



Koepelorgaan voor studieverenigingen, mei:  De koepel lekte gegevens van achthonderd studenten van de hogeschool. Het ging om namen, mail- en postadressen en titels van bestelde boeken. Bij de verwerking van bestellingen bij een online winkel voor studiematerialen zijn de gegevens meegestuurd. "Op de een of andere manier is daarbij per ongeluk een tabblad met de persoonsgegevens van de studenten meegestuurd", legt een woordvoerder van de winkel uit. "Iemand heeft vervolgens die gegevens openbaar gemaakt. Het gaat hier om een menselijk fout. Iemand heeft per ongeluk op de verkeerde knop gedrukt."

Impact
De gegevens stonden uiteindelijk 48 uur online voordat ze werden verwijderd. Daarnaast is er melding gemaakt bij de Autoriteit Persoonsgegevens en zijn alle studenten op de hoogte gebracht van het incident. Zij worden geadviseerd hun mail goed in de gaten te houden, want de kans op een toename van spam op hun adres is groot.

Lessons learned
Dit lek had voorkomen kunnen worden als de koepel zich bewust was geweest van de aanwezigheid van persoonsgegevens in de mail. Om herhaling te voorkomen, werken de webshop en de studieverenigingen voortaan alleen nog met nummers om de lijsten van bestellingen en studenten te verwerken. 


Universitair ziekenhuis, maart: Een medewerker van een groot medisch centrum maakte per ongeluk de e-mailadressen van een groep met hiv besmette patiënten van achttien jaar en jonger openbaar. Zij typte bij het versturen van een nieuwsbrief alle mailadressen in het vak ‘aan’, in plaats van in het vak ‘bcc’. Hierdoor kon iedereen die de nieuwsbrief ontving ook de adressen van andere ontvangers zien.

Impact
Direct nadat de fout aan het licht kwam, is contact opgenomen met de patiënten voor excuses. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Je kunt je voorstellen dat een lek als dit een grote impact heeft op de levens van de betrokkenen. De verspreiding van informatie over hun gezondheid kan bijvoorbeeld negatieve gevolgen hebben voor hun carrière of sociale leven.

Lessons learned
Het ziekenhuis paste het draaiboek voor de verzending van nieuwsbrieven aan. De betreffende afdeling overweegt de nieuwsbrieven niet langer via mail te versturen maar via een beter beveiligde verbinding. Deze maatregel is echter niet afdoende om te voorkomen dat een dergelijk lek opnieuw plaatsvindt.



Overheidsorgaan, juni: In juni werd bekend dat deze dienst vorig jaar 225 datalekken meldde bij de Autoriteit Persoonsgegevens. Een woordvoerder noemt als voorbeeld een postzak die zoekraakt met daarin enveloppen met inkomensgegevens van mensen. Of gegevens die naar de verkeerde persoon worden gestuurd. In dat soort gevallen licht de dienst betrokkenen direct in.

Impact
In 84 gevallen ging het om incidenten met 'een hoog risico voor de rechten en vrijheden' voor de betrokkenen. Dit kan bijvoorbeeld betekenen dat onbevoegden de gelekte gegevens gebruiken voor identiteitsfraude. Je moet er toch niet aan denken dat een vreemde jouw naam en financiële gegevens inzet om een lening aan te gaan?

Lessons learned
Deze datalekken zou men kunnen voorkomen door gebruik te maken van een mailoplossing die controleert of de juiste ontvanger een bericht opent. Op dit moment is dit overheidsorgaan echter nog niet klaar voor de privacywet, die op 25 mei is ingegaan.


Menselijke fouten voorkomen
Het zijn stuk voor stuk vervelende incidenten. Maar wat misschien nog wel meer opvalt aan deze verhalen, is dat de menselijke fout een terugkerende rol speelt. Iedereen lijkt wel fouten in de adressering van berichten of in de keuze voor bij te voegen informatie te maken. En dat klopt: de meeste datalekken die dit jaar bij de Autoriteit Persoonsgegevens werden gemeld zijn het gevolg van menselijk falen. En hoe voorkom je die? Bijvoorbeeld door er voor te zorgen dat je medewerkers weten hoe belangrijk het is om zorgvuldig om te gaan met persoonsgegevens. Je leest er hier meer over.
Ben je benieuwd hoe de inzet van ZIVVER hieraan kan bijdragen?

Klik hier om de productsheet te downloaden

Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.