Overzicht gegevenslekken reeds gemeld aan de VTC

Overzicht gegevenslekken 2018-2019

Kwaad opzet

Hacking en phishing
Aantal	Soort datalek	Genomen en geplande maatregelen
2	phishingmail met gehackte domeinnaam	paswoorden gewijzigd logins gewijzigd alle personeelsleden op de hoogte gebracht technische maatregelen om inloggen te blokkeren vanuit verschillende landen communicatie naar getroffen burgers nieuwe sensibiliseringscampagne aangegeven bij de politie
3	phishingmail met gehackte account (mail en docshare)	cloudleverancier gecontacteerd vr analyse communicatie via e-mail, informatieschermen, intranet betrokkenen waarbij verdachte mailactiviteit verwittigd als geklikt op link wachtwoord wijzigen als verdachte activiteit wijzigt ICT wachtwoord sensibilisering personeel schadelijk document verwijderd multifactor authentication gepland concreter draaiboek melding datalekken
9	phishingmail met infected (shared) link per mail waardoor toegang tot interne mailbox en van daaruit phishing verstuurd	externe IT-firma contacteren scan systeem webhistoriek nagekeken proceshistoriek nagekeken verwittigen collega’s blokkeren gebruikersaccounts verandering wachtwoorden verandering wachtwoorden van alle accounts met zelfde wachtwoord binnenkomende mails met hetzelfde onderwerp worden geblokkeerd sensibiliseringsmails meldingen VTC, CERT, verdacht@safeonweb.be(opent in uw e-mail applicatie) en politie later nog sensibilisering gepland PC offline gehaald multi-factor authenticatie zal versneld ingevoerd worden
3	phishingmail met poging tot CEO- en CFO-fraude	interne communicatie en sensibilisering aangegeven bij de politie melding (via centraal management Citrix) naar alle aangemelde gebruikers dat ze geforceerd werden afgemeld en verplicht een nieuw paswoord dienden aan te maken Advanced Threat Protection werd geactiveerd op mail account van algemeen directeur
2	hacking en phishing met autoforward (in overlap met andere vormen phishing)	paswoord reset header geanalyseerd instellingen webmail nagekeken deactivering specifieke auto-forward sensibilisering phishing nakijken of autoforward inactiveren centraal kan zoeken in logs naar info over mails nakijken welke toegangen gekoppeld aan accounts verdachte Url aan cloudleveranciers doorgegeven en werd geblokkeerd melding bij CERT 2factor authentication (2FA) invoeren extra sensibilisering phishing
45	phishing divers	melding (via centraal management Citrix) naar alle aangemelde gebruikers dat ze geforceerd werden afgemeld en verplicht een nieuw paswoord dienden aan te maken Advanced Threat Protection werd geactiveerd op mail account van algemeen directeur multi-factor authenticatie zal versneld ingevoerd worden wachtwoord wijzigen invoeren restrictiever wachtwoordbeleid sensibilisering personeel
1	website gehacked	personen werden verwittigd tabel met gegevens werd verwijderd wachtwoord aangepast site beveiligen met certificaat
1	malware en bestanden gewijzigd	virusscan anti-malwarescan melding aan CRT (Computer Security Incident Response Team) herstellen beschadigde bestanden door back-up sensibilisering personeel
1	wachtwoord afgekeken*	alle verwerking werd afgesloten paswoorden veranderd dubbele authenticatie algemeen toegang beperkter ondervraging en sanctionering leerling(en) verder onderzoek of meer leerlingen betrokken
1	wachtwoord iemand anders misbruikt*	persoon geconfronteerd wachtwoord gewijzigd
2	account laten openstaan*	bewustwording dubbele authenticatie en dienstorder daarover schorsing en tuchtonderzoek terechtwijzing wijziging van administrator en/of gebruikerspaswoorden intakeprocedure nieuwe personeelsleden aanpassen
1	account na afsluiten einde tewerkstelling terug opgehaald	procedures bij uitdiensttreding uitschrijven met aandacht voor de rechten van betrokkenen en o.a. toepassing van het 4-ogen principe
1	hacking door ex-medewerker	account vergrendeld en verwijderd klacht politie
1	ethische hacker kwetsbaarheid in website – mogelijkheid tot kennisnemen van inhoud databank. Verder geen onrechtmatige raadplegingen teruggevonden in de beschikbare loggegevens	gegevens studenten verwijderd uit de database website instellingen wijzigen → enkel nog intern bereikbaar sensibilisering naam medewerkers verder inzetten met Prepared Statements Mysql wachtwoorden worden versleuteld met een sterkere hash

Er werden in totaal 74 gevallen rond hacking en phishing gemeld.

Ransom/Cryptolocker
Aantal	Soort datalek	Genomen en geplande maatregelen
1	ransomware	verwerker heeft diverse maatregelen genomen waaronder contact met het CERT (Computer Security Incident Response Team)
1	ransomware: hacking server en backup; alle files geëncrypteerd. Na betaling losgeld code gekregen om alle files te ontsleutelen. Vermoeden dat hacker enkel financiële verrijking tot doel had. Gebaseerd op feedback van IT-expert en de FCCU (Federal Computer Crime Unit)	aangifte politie telefonisch contact met FCCU onze IT-partner (externe dienst) zorgt voor een voorlopige beveiliging aankoop van een externe backup hadden in 2019 al nieuwe backup, firewall en server aangekocht
1	Infectie cryptolocker	aangifte politie forensisch onderzoek FUCC blokkeren geïnfecteerd account wijzigen credentials gespecialiseerde firma’s geconsulteerd medewerkers gemeente verplicht paswoord te wijzigen en conform standaard te brengen

Er werden in totaal 3 gevallen rond ransom/cryptolocker gemeld.

Diefstal
Aantal	Soort datalek	Genomen en geplande maatregelen
9	diefstal PC en GSM en vandalisme	de wachtwoorden voor de accounts (ticketgang, e-mail) werden gewijzigd SIMkaart geblokeerd O365account verwijderd aanmelden onmogelijk gemaakt richtlijnen inbraakpreventie fysieke beveiliging verbeteren automatisch aanmelden in systemen met persoonsgegevens onmogelijk maken afsluiten deel dienstverlening waar nodig wachtwoorden moeten voldoen aan voorwaarden wijziging administrator wachtwoorden geëncrypteerde harde schijven/Bitlockerencryptie van PC’s multifactor authenticatie sensibilisering aangegeven bij politie
7	diefstal laptop, usb, sleutels	aangifte bij lokale politie sensibilisering afspraken herbekijken Bitlocker encryptie deactivatie computers in domein wachtwoord gewijzigd nieuwe toestellen worden nu in gesloten kast achtergelaten installatie van camera’s in de omgeving van het gebouw is lopende
2	diefstal server	technische maatregelen: data kunnen niet geraadpleegd worden buiten het intern netwerk serverlokaal altijd gesloten houden aangifte bij politie

Er werden in totaal 18 gevallen rond diefstal gemeld.

Misbruik toegang(srechten)
Aantal	Soort datalek	Genomen en geplande maatregelen
1	foto’s nemen van identiteitskaarten om te misbruiken	politioneel onderzoek betrokkenen worden gecontacteerd identiteitskaarten in vervolg in kluis stagiairs geen toegang tot kluis communicatie naar medewerkers
3	eigen account misbruikt voor persoonlijke doeleinden (meestal Rijksregister)	gesprek met betrokken medewerker en/of betrokken medewerkers werden ontslagen, na controle logbestanden sensibilisering personeel personeelslid in kwestie wordt formeel (brief) op de hoogte gebracht van feit dat dergelijke consultaties niet correct zijn bespreking in dienstverband: grenzen scherp stellen in toekomst zelf proactief steekproefsgewijs loglijsten screenen

Er werden in totaal 4 gevallen rond misbruik van toegang(srechten) gemeld.

2 van dit soort meldingen betrof problemen met een interim of stage, in dat geval werd:

interimaris gesensibiliseerd
VDAB gecontacteerd

Publicatie op sociale media of via pers
Aantal	Soort datalek	Genomen en geplande maatregelen
6	ongeoorloofde publicatie foto’s en filmpjes van bewoners, patiënten (op sociale media) door student/personeel*	opnames verwijderd student van werkvloer student geconfronteerd en verslag aan politie nieuwsbrief naar studenten verpleegkunde: tegen normen en waarden, niet verspreiden, aanbod discreet gesprek aangetekende brief naar personeel over regels nakijken procedure stagiair aangifte om voorbeeld te stellen personeel ontslagen personeel gewezen op regels via aangetekend schrijven communicatie naar bewoners en familie, betrokkenen een persoonlijk gesprek medewerker is van de werkvloer verwijderd naar een plek zonder contact met ouderen medewerkers van het woonzorgcentrum worden nog eens extra gewezen op het incident en de social media policy
1	foto’s kwetsbare kinderen gedeeld op facebook zonder toestemming directrice maar niet herkenbaar	gegevens laten verwijderen leidinggevenden leefgroep verwittigd sensibiliseren van en waarschuwing aan personeel samenkomst ingepland met interne en externe DPO om procedures te bespreken
1	datums en namen van geplande huwelijken 3 maanden - menselijke fout: op vraag van een politicus werden de gegevens toch doorgegeven door de verantwoordelijke voor de catering van het huwelijk aan de pers	vooral sensibilisering personeel vraag aan de krant om lijst te vernietigen er zal een nieuwe lijst ter beschikking worden gesteld van personen die toestemming gaven
1	notulen gelekt door een raadslid, burger op sociale media geplaatst, omgevingsvergunning van een derde was hier zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt	bewustmakingscommunicatie Algemeen Directeur naar raadsleden bewustmakingsessie door DPO met extra aandacht voor geheimhoudingsverplichtingen van mandatarissen deontologische code huishoudelijk reglement
1	ontslagbrief algemeen directeur persnota (opgesteld door oppositie) citeert letterlijk uit deze ontslagbrief, werd ook op sociale media gepubliceerd	(behandeld i.k.v. klacht)

Er werden in totaal 10 gevallen gemeld rond publicatie op sociale media of via pers.

Fysiek verlies en onbeschikbaarheid

Fysiek verlies
Aantal	Soort datalek	Genomen en geplande maatregelen
2	postpakket beschadigd bij de post	klacht bij de post om te recupereren persoonlijk overhandigen zoveel mogelijk digitaal
1	papieren met gevoelige informatie weggewaaid	transport enkel nog 100% bewaakt en met beveiligde boxen papieren documenten vervangen door digitaal
6	verlies papieren documenten	papieren documenten vervangen door digitaal (binnen 3 maanden)
1	verlies niet geëncrypteerde USB-sticks	USB-gebruik voor persoonsgegevens wordt afgeraden
2	verlies niet-geëncrypteerde usb-stick via post ihkv installatie van informaticasystemen	trainingen om te voorkomen dat niet langer USB-sticks worden gebruikt voor het offline installeren en importeren van bepaalde gegevens gebruik van zwaar beveiligde en encrypteerde USB-sticks offline importeren van gegevens beperken tot minimum
1	verlies persoonlijke PC vrijwilliger digitalisering	vertrouwelijkheidsverklaring geen persoonlijke PC’s meer toegangsbeheer kopies van registers bij vrijwilligers vernietigen

Er werden in totaal 13 gevallen rond fysiek verlies gemeld.

Onbeschikbaarheid van persoonsgegevens
Aantal	Soort datalek	Genomen en geplande maatregelen
1	uitgevallen servers (onbeschikbaarheid gegevens)	metingen verricht aangifte bij politie camerabeelden onderzocht
1	technisch defect van netwerk-switch en serverruimtekoeling → tijdelijke, volledige onbeschikbaarheid van het interne computernetwerk, de informatie bewaard op computerservers, en de communicatie over het computernetwerk	vervanging van de defecte apparaten versleuteling sociale persoonsgegevens veel voorstellen DPO (storingsmelding, operationele parameters in de serverruimte,…)
1	corrupte backupschijf/MySQL database die corrupt (dus onleesbaar) geworden is (oorzaak onbekend)	terugzetten backup contact Rijksregister over correcte doorstroming gegevens contact met softwareleverancier

Er werden in totaal 3 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie
Aantal	Soort datalek	Genomen en geplande maatregelen
5	online zetten informatie die niet online mocht komen	informatie/document(en) werd onmiddellijk verwijderd configuratie aangepast afspraken rond publiceren en vertrouwelijkheid procedure herzien en openbaar en besloten deel als aparte zitting agenderen procedure verificatie alvorens online publiceren sensibilisering
1	verkeerdelijke publicatie op website van thuisadres door onvoldoende kennis welke velden databank wel en niet publiek toegankelijk worden geplaatst	adressen in de databank vooral ingevuld met werkadres, zodat dit op de website verschijnt op teamvergadering iedereen geïnformeerd over het correct gebruik van alle velden binnen de toepassing
2	online zetten informatie zonder bescherming (waaronder in een testomgeving)	de documenten werden op ‘besloten’ gezet de gelekte gegevens zijn gedesindexeerd DMS werd geblokkeerd voor zoekmachines opstarten inventarisatie van documenten die mogelijk ook persoonsgegevens bevatten url niet geïndexeerd en complex sluitend loggingsysteem basic authenticatie voor de toepassing op de ontwikkelomgevingen ook op de testomgeving een bijkomende netwerkbeveiliging
1	online formulier met mogelijkheid URL manipulatie zodat gegevens gebruikers openbaar konden gemaakt worden	dienstverlening afgesloten ontwikkelen nieuw formulier
4	een niet-ingelogde gebruiker kon aanvraag andere gebruiker zien door URL te wijzigen.	hotfix op de productiedatabase integratietesten die niet-ingelogde url’s automatisch controleert op gevoelige informatie
1	openbaargemaakte notulen gemeenteraad met persoonsgegevens	geen (notulen gemeenteraad blijven openbaar) advies aan de gemeenteraad
1	publiceren vertrouwelijke persoonsgegevens op de website binnen de gebruikte software tool. Administratieve fout: publicatie notulen van een besloten zitting. Reden is een onvoldoende kennis van de werking van de gebruikte notuleringstool	in herinnering brengen van handleiding notuleringstoepassing sensibilisering van alle personeelsleden rond de definitie van een gegevenslek en de vraag om dit steeds te melden bij de DPO
5	ongewilde publicatie persoonsgegevens website	onmiddellijke depublicatie afspraken rond publiceren en vertrouwelijkheid van persoonsgegevens in herinnering brengen sensibilisering
1	op het een (portaal)site worden ingediende eindverslagen gepubliceerd. Bij deze eindverslagen waren een klein aantal persoonsgegevens zichtbaar onder specifieke omstandigheden	correcte versie teruggeplaatst authorisatie gerelateerde code v/h volledige portaal herbekeken bij nieuwe releases portaal komt er een testpanel rechtenbeheer zal kritisch worden bekeken en vereenvoudigd
1	forensische audit, door Audit Vlaanderen; Publicatie door één of meerdere personen in de verzendlijst. Onterechte publicatie rapport.	melding aan Audit Vlaanderen

Er werden in totaal 22 gevallen gemeld rond ongewilde of onterechte publicatie.

Onachtzaamheid e-mail/brieven/documenten
Aantal	Soort datalek	Genomen en geplande maatregelen
1	brief naar verkeerde persoon door fout post	opnieuw versturen van brieven beter controle bij versturen
18	Mail/brief aan verkeerde geadresseerde	e-mail bij verkeerd geadresseerde werd verwijderd, enkel interne medewerker sensibilisering medewerkers vraag om mail te verwijderen
1	verkeerd RR (zelfde naam en geboortedatum) waardoor foute facturatie	alle instanties verwittigd dat RRN verkeerd was DPO verwittigd en gevraagd patiënt in te lichten facturatie tegengehouden administratieve rechtzetting
1	telefoonnummer foutief doorgeschakeld (gevoelige informatie)	doorschakeling aangepast briefing personeel: geen info meer op voicemail
1	mailen met teveel bestemmelingen zichtbaar (gevoelige informatie)	bewustmaking op teamoverleg opleiding interne kwaliteit
10	mail met bestemmelingen in CC ipv BCC	communicatie naar geadresseerden met de vraag om de mail met e-mailadressen te verwijderen en de gegevens vertrouwelijk te behandelen awareness sessies bij personeel
10	mailen informatie naar verkeerde persoon (gevoelige informatie) - ook via (leerlingenvolg)systemen	beslissing om geen inhoudelijke gegevens meer te verspreiden via mail zoeken naar uitwisseling van informatie via een ander veiliger systeem ter inzage leggen op stadhuis of OCMW er wordt gezocht naar veiliger manier om brieven te bezorgen, via beveiligde link organisatorische maatregelen om juiste adressenlijsten te raadplegen meteen contact genomen en gewist (zelf of bevestiging gevraagd) kennisgeving aan bedoelde ontvanger vermelding op teamoverleg bewustwordingscampagnes software gecorrigeerd twee maanden voorafgaand aan de actualisatie van de gegevens geen tussentijdse aanpassing software meer
1	per vergissing van een betrokkene diens follow up (dienst tewerkstelling) aan werkgever bezorgd i.p.v. CV. (i.h.k.v. digitale verwerking gegevens per email)	potentiële werkgever gecontacteerd met vraag het ten onrechte ontvangen document te verwijderen opmaak werkinstructie en communicatie hieromtrent sensibilisering, bewustmaking m.b.t. persoonsgegevens werken met beveiligde email
1	onoplettendheid van medewerker bij doorsturen fiscaal attest naar 1 externe persoon. Deze verkreeg daardoor niet bedoeld inzage in meer dan 500 documenten	ontvanger heeft attesten verwijderd uit systeem attesten kunnen door de ouders na inloggen gedownload worden attesten worden niet meer per mail verstuurd. Bij problemen kunnen deze na aanvraag en op papier worden afgehaald aan de receptie
4	mailen teveel informatie naar teveel personen handmatig	gesprek met diegene die mail verstuurd heeft (en de betrokkene) sensibilisering van de personen die toegang hebben tot de informatie overleg met directie en medewerkers controle op reply-to-all
1	notulen gelekt door een raadslid en door burger op sociale media geplaatst, omgevingsvergunning van een derde was zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt	bewustmakingscommunicatie Algemeen Directeur naar raadsleden bewustmakingsessie door DPO met extra aandacht voor geheimhoudingsverplichtingen van mandatarissen deontologische code huishoudelijk reglement
1	fout in manueel aangemaakte lijst voor koppeling digitale loonbrieven	verwerker heeft foutieve loondocumenten onzichtbaar gemaakt bijkomende controle op manuele handeling: afspraak gemaakt dat één medewerker deze lijst opstelt en een andere een controle uitvoert garanties inbouwen dat controle effectief plaatsvindt
1	dienst Personeel van de gemeente stuurde de lijst met alle personeelsleden van het OCMW (niet enkel de gedetacheerde statutairen) door naar het Zorgbedrijf (n.a.v. RIZIV aangifte)	contactname Zorgbedrijf vernietiging lijst(en) vernietiging lijst(en) sensibiliseren medewerkers gefilterde aanlevering persoonsgegevens (softwarematig of manuele bezorging op vertrouwelijke wijze)
2	mailen te veel informatie naar teveel personen geautomatiseerd	automatische verzending naar andere adressen stilgelegd juiste parameters (bij API-call) toegevoegd uitbreiding testomgeving
1	foutieve koppeling van patiënt in elektronisch patiëntendossier → dossier patiënt A bij patiënt B en zijn huisarts. Foute manuele, eenmalige link tussen 2 systemen	onderzoek feedback vragen aan instellingen die met zelfde pakket werken verwerker maatregelen vragen om meer zekerheid in te bouwen zodat een foute koppeling niet meer mogelijk is informeren betrokkene
1	door foute manipulatie extern supportteam hadden medewerkers tijdelijk ongeoorloofde toegang tot persoonsgegevens van hun collega’s (+/- 10)	gebruik v.d. applicatie tijdelijk geblokkeerd contact opgenomen externe partner om te onderzoeken
1	inschrijving bij verkeerde entiteit door fout in software	de inschrijvingen werden onmiddellijk aangepast (na 1 werkdag) er werd aan leverancier gevraagd software aan te passen
1	Verspreiding digitale loonbrief via een digitale brievenbus. Aantal collega’s kregen loonbrief van maand mei van één andere collega.	loonbrieven werden onzichtbaar gemaakt nieuwe testen uitgevoerd overleg HR-dienstverlener, leverancier digitale brievenbus, andere softwareleverancier en provinciebestuur implementatie gefaseerde uitrol loonbrieven
1	Bij een migratie van telecomoperator heeft de nieuwe verkeerde telefoonnummers toegekend aan 180 personen. Hierdoor zijn er berichten, voicemails, of oproepen bij andere mensen (collega’s) terechtgekomen	nodige technische acties ondernomen om de fout recht te zetten (samen met nieuwe telecomoperator en hun onderaannemer) betrokkenen verwittigd, en verzocht om de privacy van collega’s te respecteren juridische stappen overwogen naar nieuwe telecomoperator
1	gegevens aan de juiste persoon verstuurd maar op een ander adres door tussentijdse aanpassing software	software gecorrigeerd er zal gedurende twee maanden voorafgaand aan de actualisatie van de gegevens geen tussentijdse aanpassing van de software meer worden gedaan
1	generieke account aangemaakt om te testen blijft toegankelijk (raadpleging RR)	afsluiten verwerking wijzigen toegangsrechten
1	automatisch doorsturing op e-mailaccount van een personeelslid van het autonoom gemeentebedrijf (AGB).	lijst getrokken met de e-mails die naar het e-mailadres werden doorgestuurd, zodat later eventueel nog een detail-inschatting kan gedaan worden van de impact in die periode regelmatig valideren of er onterechte forwards zijn ingesteld
1	sociaal verslag de referentiepersoon en zijn gezin werd per vergissing uitgeprint vanop het OCMW naar de printer in de inkomsthal van het gemeentehuis (foutieve printerkeuze)	bespreking incident in de IVC
1	rondslingerende documenten	bewustwordingscampagne er wordt aan alle printers en aan het faxapparaat een herinnering gehangen om geen documenten achteloos achter te laten, evenmin in burelen, vergaderlokalen of elders in het gemeentehuis
1	een overtreding staat beschreven op een wikipagina en deze was niet afgeschermd voor de rest van de organisatie	wikipagina afgeschermd GDPR- en cybersecurity infosessies waarin steeds herhaald wordt dat het belangrijk is om wikipagina’s af te schermen indien nodig bevoegde personen afzonderlijk ingelicht betrokken geïnformeerd

Er werden in totaal 64 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.

Gebrek aan kennis/Niet respecteren regels
Aantal	Soort datalek	Genomen en geplande maatregelen
1	ongeoorloofd mondeling doorgeven van kandidaat in selectie aan huidige werkgever	gesprek met betrokken personeelsleden, informeren betrokkene; herhaling vertrouwelijkheids-verplichtingen
1	personeelslid lijst aanwezigen kinderopvang afgeprint en opgenomen als doc in rechtszaak	sanctionerende en preventieve maatregelen, bewustmaking
	medewerker heeft medisch verslag doorgestuurd naar verzekering i.h.k.v. arbeidsongeval maar zonder medeweten van de patiënt (verslagen moeten via de patiënt of met toestemming van de patiënt aan de verzekering bezorgd worden)	instructies aan personeel over correcte manier van afhandelen werkgroep samengeroepen om werkinstructies op te stellen: opmaak van een toestemmingsformulier en een procedure
1	onrechtmatige toegang en inzage sociaal dossier en ook mondelinge doorgifte door tijdelijk personeelslid	extra aandacht besteden aan discretie en deontologie bij toekomstige aanwervingen
2	mondeling doorgeven van informatie	veiligheidsbeleid wordt verder uitgewerkt procedure voor informatieverstrekking er wordt extra gehamerd op het loggen elk contact betrokkene werd geïnformeerd over datalek
1	badge doorgegeven door schepen voor journalistiek onderzoek zonder medeweten bestuur	blokkeren toegangsbadge escalatie naar het college en de Algemeen Directeur bespreking op IVC meeting leverancier verhogen veiligheid invoeren badgehouders die kopies tegengaan interne communicatie nieuw toegangscontrolesysteem
1	vanuit de stad onterecht een lijst verstuurd aan de Lijn, die nadien gebruikt is in strijd met advies VTC (i.h.k.v derdebetalersregeling gratis pas 6 t.e.m.14-jarigen)	volledige heronderhandeling van de te volgen procedure om het derdebetalerssysteem te kunnen toepassen in overeenstemming met het advies van de VTC
1	ex-inwoner woont nu in USA, kreeg brief waarop naam, adres en SSN vermeld waren. Met combinatie van deze gegevens kan je in US aan veel gegevens geraken. Deze burger stuurde wel zelf mails naar bestuur die hij ondertekende met deze gegevens	interne communicatie met alle personeelsleden van de dienst over wat gebeurde. Aangeven dat dergelijke info niet op de buitenzijde mag vermeld worden

Er werden in totaal 8 gevallen gemeld rond een gebrek aan kennis of het niet respecteren van regels.

Fout in toepassing
Aantal	Soort datalek	Genomen en geplande maatregelen
1	testen met productieve data op onbeschermde omgeving	url niet geïndexeerd en complex sluitend loggingsysteem basic authenticatie voor de toepassing op de ontwikkelomgevingen vraag is gesteld aan de ontwikkelaar om ook op deze omgeving een bijkomende netwerkbeveiliging op te zetten
1	na in productiestellen van software was er een datalek in identificatiesysteem. Dit systeem is bereikbaar via een loket. Lees- en/of schrijfrechten van alle gebruikers werden uitgebreid naar rechten op alle (niet-)gebruikers i.p.v. alleen eigen rechten	code die probleem veroorzaakte is aangepast meer aandacht besteden aan het belang van testen (opgenomen in onze release-procedure)
1	Misconfiguratie van een burgerloket ( kernapplicatie van de entiteit) na nieuwe release	vanaf Q3 ItsMe (voorlopig vrijblijvend) aangeboden bijkomende richtlijnen ontwikkeling rond waar welke “services” staan proces melding van SL naar I&T bij security gerelateerde incidenten bijwerken password reset burgers

Er werden in totaal 3 gevallen gemeld rond een fout in een toepassing.

Gebruikers- en toegangsbeheer
Aantal	Soort datalek	Genomen en geplande maatregelen
4	gebruikers kunnen teveel gegevens zien	afsluiten rapporten/verwijderen informatie correctie toegangscontrole/foutieve rechten extra nazicht autorisatie andere rapporten het rechtenbeheer zal kritisch worden bekeken en vereenvoudigd waar mogelijk contacteren raadplegers en verwijdering eventuele download communicatie naar sector, bedrijven, kabinet, VTC, betrokken agentschap telefonische permanentie weekend post-mortem in veiligheidscomité bepalen oorzaak programmatiefout (het stond correct in de analyse) testen (met de juiste gebruikers) bepalen oorzaak niet-detecteren probleem in testfase aanpassen procedures, instructies extra bewustmaken correct en veilig programmeren
1	rechtenbeheer portaal burger fout wegens update	het lek werd meteen dezelfde dag gedicht het rechtenbeheer zal kritisch worden bekeken en vereenvoudigd waar mogelijk bij nieuwe releases zal een testpanel van archeologen worden samengesteld
1	e-loket met tijdelijk ongeoorloofde toegang tot volmachten van alle gebruikers
1	onbeveiligde toegang tot een webservice om Rijksregister te bevragen door iedereen die toegang heeft tot het interne netwerk

Er werden in totaal 7 gevallen rond gebruikers- en toegangsbeheer gemeld.

Gegevenslekken in verband met onderwijs

Kwaad opzet

Hacking
Aantal	Soort datalek	Genomen en geplande maatregelen
1	Een leerling heeft zich via een keylogger toegang kunnen verschaffen tot het wachtwoord en de smartschoolaccount van een personeelslid.	beslissing genomen om meteen multi-factor-authenticatie (MFA) in te schakelen
1	Leerlingen zagen de leerkracht zijn wachtwoord invoeren op leerlingvolgsysteem. Hebben wachtwoord doorgegeven, op smartschool ingelogd, printscreens gemaakt van resultaten,…	in overleg gegaan met het CLB om met de betrokken leerlingen een sensibiliseringstraject op te starten verplichte dubbele authenticatie (2FA) van alle personeelsleden
1	Hacking account leerlingvolgsysteem leerkracht door leerlingen (doel leerlingen eerder om punten te wijzigen, niet echt tot doel gehad om gegevens van andere leerlingen te bekomen)	wijziging wachtwoord 2-factor (2FA) verificatie ingesteld voor betrokken leerkracht nieuwe sensibilisering voor alle collega’s om nieuw (en veilig) wachtwoord te kiezen stappenplan meegegeven voor het controleren van aanmeldingen op eigen account
1	Onrechtmatige toegang door leerlingen tot account leerlingvolgsysteem van een leerkracht
1	Examenfraude: ongeoorloofde toegang leerlingen tot leerkrachtaccount van leerlingvolgsysteem: mogelijkheid toegang identificatiegegevens. Leerlingen, ouders, leerlingvolgsysteem, rapportmodule, berichten leerkracht	bewustmaking awareness vergroten
1	ongeoorloofde toegang door leerlingen tot puntensysteem, berichtensysteem en leerlingvolgsysteem van de leerkracht (leerlingen hebben gebruikersnaam en wachtwoord van leerkracht afgekeken)	wachtwoord leerkracht gewijzigd dubbele authenticatie ook invoeren voor leerkrachten
1	wachtwoord gekraakt leerlingenvolgsysteem en gegevens verwijderd	paswoorden werden aangepast klacht werd ingediend bij de politie daders werden geïnterpelleerd bewustwording van wat betreft beveiliging paswoorden op centraal niveau opstart DPIA rond leerlingenvolgsysteem
1	wachtwoord leerkracht gekend bij leerlingen -examenfraude-mogelijks leerlingen gegevens geraadpleegd	account leerkracht gewijzigd sensibiliseren leerkrachten en leerlingen 2-factor (2FA) authenticatie betrokkenen zijn geïnformeerd
1	hacking smartschoolaccount leerkracht waarna mails verstuurd naar andere leerkrachten en gegevens ingekeken van leerlingvolgsysteem van enkele leerlingen	op systematische basis zal het technisch worden afgedwongen wachtwoorden te veranderen na 6 maanden aanvullend nog extra sensibilisering voorzien worden voor schoolpersoneel
1	gehackte account leerlingvolgsysteem collega	verandering van het paswoord van de Smartschoolaccounts

Er werden in totaal 10 gevallen rond hacking gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht
Niet kennen of toepassen regels
Aantal	Soort datalek	Genomen en geplande maatregelen
1	uittreksel leerlingenvolgsysteem als kladpapier	instructie ofwel vernietigen ofwel correct klasseren minder details noteren over persoonlijke omstandigheden leerlingen (VTC)
1	leerlingen mogelijkheid inkijken klasoverzicht tijdens les (en 1 leerling nam foto)	klasgesprek met de leerlingen leerlingen vragen fotomateriaal te verwijderen leerkracht aanraden klasoverzichten met gevoelige gegevens niet af te printen en mee te nemen naar les nieuwe richtlijnen worden duidelijk gecommuniceerd aan leerkrachten

Er werden in totaal 2 gevallen gemeld rond het niet kennen of toepassen van regels.

Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens

Overzicht gegevenslekken 2018-2019

Kwaad opzet

Fysiek verlies en onbeschikbaarheid

Informatie komt ongewild bij verkeerde bestemmeling terecht

Gegevenslekken in verband met onderwijs

Kwaad opzet

Informatie komt ongewild bij verkeerde bestemmeling terecht