Gedaan met laden. U bevindt zich op: Websitebeheerders Domeinen

Websitebeheerders

DDOS-aanvallen en datalekken

Verschillende overheden waren in oktober 2024 het slachtoffer van een DDOS-aanval.

Het is niet omdat de DDOS-aanvallen als relatief ongevaarlijk worden voorgesteld, dat ze onbelangrijk zijn.

Als zo een aanval tot gevolg heeft dat de verwerking van persoonsgegevens niet meer kan doorgaan, bv. omdat de stand van een aanvraagdossier niet meer kan gevraagd worden terwijl dat normaal gezien wel online kan, dat is er ook sprake van een “datalek”, want onbeschikbaarheid is ook een element dat in deze omstandigheden als een “inbreuk op de beveiliging” kan worden beschouwd.

Is dit zeer kort en zeer beperkt in omvang en belang, dan moet het incident niet gemeld worden. Een alternatieve dienstverlening die snel werd opgezet kon die impact voorkomen. Als er een duidelijke impact was op de dienstverlening moet er wel een melding bij de VTC gebeuren.

AI-chatbots

Je integreert een chatbot op de website die werkt op basis van een (standaard) chatclient van een leverancier die werkt met generatieve AI.

Je bent verwerkingsverantwoordelijke voor je website en de chatbot.

Je moet minimaal de bezoekers van de website duidelijk verwittigen dat ze geen persoonsgegevens mogen vrijgeven, dat de antwoorden niet de antwoorden zijn van de instantie zelf en niet noodzakelijk een betrouwbaar antwoord.

v.1.0

Gebruik van enkel een rijksregisternummer als login en wachtwoord

Er zijn toepassingen op de markt en in gebruik die een oude loginmethode gebruiken (eventueel naast nieuwe veilige). Daarbij kregen burgers van het lokaal bestuur bv. automatisch een login, bestaande uit het rijksregisternummer, dat als gebruikersnaam én als wachtwoord gebruikt werd. Vele burgers hebben hun wachtwoord niet aangepast. Daardoor is het mogelijk om op dit platform aan te melden met tal van rijksregisternummers van burgers. Daardoor is alle persoonlijke informatie uit het systeem meteen zichtbaar.

Voor een bepaalde toepassing kon zelfs al is het wachtwoord aangepast, nog iemand een gezinslid aan zijn account toevoegen. Elke inwoner van de gemeente kon zo toegevoegd worden als gezinslid. Daarna had de persoon die dat gezinslid had ingevoerd onmiddellijk toegang tot alle gegevens van deze persoon en kon die ook het wachtwoord van die persoon wijzigen.

Deze loginmethode moet onmiddellijk buiten gebruik worden gesteld.

Publiceren lijsten

De VTC krijgt regelmatig meldingen van de publicatie van lijsten waarbij per vergissing ook persoonsgegevens in staan of van lijsten met persoonsgegevens die per vergissing gepubliceerd worden op het net.

De preventieve maatregel die dan meestal voorgesteld wordt om zo een datalek te voorkomen, is het toevertrouwen van die taak aan meer dan een persoon (het vier-ogen-principe).

De VTC beveelt aan om bijkomend volgende maatregelen te nemen:

  • systematisch controleren wat je net online hebt gezet;
  • regelmatig controles (laten) doen (als pentest) op wat online te vinden is over of van de organisatie;
  • in de lijsten zelf vermelden dat de eventuele ongewilde publicatie van persoonsgegevens niet het hergebruik van deze gegevens toelaat tenzij dat hergebruik conform zou zijn met de AVG.

Like buttons

Het arrest van het Europese Hof van Justitie van 29 juli 2019(opent in nieuw venster) in de zaak Fashion ID heeft de beheerders van webpagina’s als medeverantwoordelijke van Facebook verklaard voor de persoonsgegevens die ze via de Facebook like button verzamelen en doorgeven aan Facebook (niet voor wat Facebook er later mee doet).

Wat kan je doen?

  • like buttons e.d. verwijderen
    • een tussenstap toevoegen via social media plug ins (lukt niet voor FB-pixel e.d.)
      • informeren en toestemming vragen aan de bezoekers

Meer weten?

Lees de aanbevelingen(PDF bestand opent in nieuw venster) van de vroegere Privacycommissie.