Overzicht gegevenslekken 2018-2019
Kwaad opzet
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
2 | phishingmail met gehackte domeinnaam |
|
3 | phishingmail met gehackte account (mail en docshare) |
|
9 | phishingmail met infected (shared) link per mail waardoor toegang tot interne mailbox en van daaruit phishing verstuurd |
|
3 | phishingmail met poging tot CEO- en CFO-fraude |
|
2 | hacking en phishing met autoforward (in overlap met andere vormen phishing) |
|
45 | phishing divers |
|
1 | website gehacked |
|
1 | malware en bestanden gewijzigd |
|
1 | wachtwoord afgekeken* |
|
1 | wachtwoord iemand anders misbruikt* |
|
2 | account laten openstaan* |
|
1 | account na afsluiten einde tewerkstelling terug opgehaald |
|
1 | hacking door ex-medewerker |
|
1 | ethische hacker kwetsbaarheid in website – mogelijkheid tot kennisnemen van inhoud databank. Verder geen onrechtmatige raadplegingen teruggevonden in de beschikbare loggegevens |
|
Er werden in totaal 74 gevallen rond hacking en phishing gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | ransomware |
|
1 | ransomware: hacking server en backup; alle files geëncrypteerd. Na betaling losgeld code gekregen om alle files te ontsleutelen. Vermoeden dat hacker enkel financiële verrijking tot doel had. Gebaseerd op feedback van IT-expert en de FCCU (Federal Computer Crime Unit) |
|
1 | Infectie cryptolocker |
|
Er werden in totaal 3 gevallen rond ransom/cryptolocker gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
9 | diefstal PC en GSM en vandalisme |
|
7 | diefstal laptop, usb, sleutels |
|
2 | diefstal server |
|
Er werden in totaal 18 gevallen rond diefstal gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | foto’s nemen van identiteitskaarten om te misbruiken |
|
3 | eigen account misbruikt voor persoonlijke doeleinden (meestal Rijksregister) |
|
Er werden in totaal 4 gevallen rond misbruik van toegang(srechten) gemeld.
2 van dit soort meldingen betrof problemen met een interim of stage, in dat geval werd:
- interimaris gesensibiliseerd
- VDAB gecontacteerd
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
6 | ongeoorloofde publicatie foto’s en filmpjes van bewoners, patiënten (op sociale media) door student/personeel* |
|
1 | foto’s kwetsbare kinderen gedeeld op facebook zonder toestemming directrice maar niet herkenbaar |
|
1 | datums en namen van geplande huwelijken 3 maanden - menselijke fout: op vraag van een politicus werden de gegevens toch doorgegeven door de verantwoordelijke voor de catering van het huwelijk aan de pers |
|
1 | notulen gelekt door een raadslid, burger op sociale media geplaatst, omgevingsvergunning van een derde was hier zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt |
|
1 | ontslagbrief algemeen directeur persnota (opgesteld door oppositie) citeert letterlijk uit deze ontslagbrief, werd ook op sociale media gepubliceerd | (behandeld i.k.v. klacht) |
Er werden in totaal 10 gevallen gemeld rond publicatie op sociale media of via pers.
Fysiek verlies en onbeschikbaarheid
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
2 | postpakket beschadigd bij de post |
|
1 | papieren met gevoelige informatie weggewaaid |
|
6 | verlies papieren documenten |
|
1 | verlies niet geëncrypteerde USB-sticks |
|
2 | verlies niet-geëncrypteerde usb-stick via post ihkv installatie van informaticasystemen |
|
1 | verlies persoonlijke PC vrijwilliger digitalisering |
|
Er werden in totaal 13 gevallen rond fysiek verlies gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | uitgevallen servers (onbeschikbaarheid gegevens) |
|
1 | technisch defect van netwerk-switch en serverruimtekoeling → tijdelijke, volledige onbeschikbaarheid van het interne computernetwerk, de informatie bewaard op computerservers, en de communicatie over het computernetwerk |
|
1 | corrupte backupschijf/MySQL database die corrupt (dus onleesbaar) geworden is (oorzaak onbekend) |
|
Er werden in totaal 3 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.
Informatie komt ongewild bij verkeerde bestemmeling terecht
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
5 | online zetten informatie die niet online mocht komen |
|
1 | verkeerdelijke publicatie op website van thuisadres door onvoldoende kennis welke velden databank wel en niet publiek toegankelijk worden geplaatst |
|
2 | online zetten informatie zonder bescherming (waaronder in een testomgeving) |
|
1 | online formulier met mogelijkheid URL manipulatie zodat gegevens gebruikers openbaar konden gemaakt worden |
|
4 | een niet-ingelogde gebruiker kon aanvraag andere gebruiker zien door URL te wijzigen. |
|
1 | openbaargemaakte notulen gemeenteraad met persoonsgegevens |
|
1 | publiceren vertrouwelijke persoonsgegevens op de website binnen de gebruikte software tool. Administratieve fout: publicatie notulen van een besloten zitting. Reden is een onvoldoende kennis van de werking van de gebruikte notuleringstool |
|
5 | ongewilde publicatie persoonsgegevens website |
|
1 | op het een (portaal)site worden ingediende eindverslagen gepubliceerd. Bij deze eindverslagen waren een klein aantal persoonsgegevens zichtbaar onder specifieke omstandigheden |
|
1 | forensische audit, door Audit Vlaanderen; Publicatie door één of meerdere personen in de verzendlijst. Onterechte publicatie rapport. |
|
Er werden in totaal 22 gevallen gemeld rond ongewilde of onterechte publicatie.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | brief naar verkeerde persoon door fout post |
|
18 | Mail/brief aan verkeerde geadresseerde |
|
1 | verkeerd RR (zelfde naam en geboortedatum) waardoor foute facturatie |
|
1 | telefoonnummer foutief doorgeschakeld (gevoelige informatie) |
|
1 | mailen met teveel bestemmelingen zichtbaar (gevoelige informatie) |
|
10 | mail met bestemmelingen in CC ipv BCC |
|
10 | mailen informatie naar verkeerde persoon (gevoelige informatie) - ook via (leerlingenvolg)systemen |
|
1 | per vergissing van een betrokkene diens follow up (dienst tewerkstelling) aan werkgever bezorgd i.p.v. CV. (i.h.k.v. digitale verwerking gegevens per email) |
|
1 | onoplettendheid van medewerker bij doorsturen fiscaal attest naar 1 externe persoon. Deze verkreeg daardoor niet bedoeld inzage in meer dan 500 documenten |
|
4 | mailen teveel informatie naar teveel personen handmatig |
|
1 | notulen gelekt door een raadslid en door burger op sociale media geplaatst, omgevingsvergunning van een derde was zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt |
|
1 | fout in manueel aangemaakte lijst voor koppeling digitale loonbrieven |
|
1 | dienst Personeel van de gemeente stuurde de lijst met alle personeelsleden van het OCMW (niet enkel de gedetacheerde statutairen) door naar het Zorgbedrijf (n.a.v. RIZIV aangifte) |
|
2 | mailen te veel informatie naar teveel personen geautomatiseerd |
|
1 | foutieve koppeling van patiënt in elektronisch patiëntendossier → dossier patiënt A bij patiënt B en zijn huisarts. Foute manuele, eenmalige link tussen 2 systemen |
|
1 | door foute manipulatie extern supportteam hadden medewerkers tijdelijk ongeoorloofde toegang tot persoonsgegevens van hun collega’s (+/- 10) |
|
1 | inschrijving bij verkeerde entiteit door fout in software |
|
1 | Verspreiding digitale loonbrief via een digitale brievenbus. Aantal collega’s kregen loonbrief van maand mei van één andere collega. |
|
1 | Bij een migratie van telecomoperator heeft de nieuwe verkeerde telefoonnummers toegekend aan 180 personen. Hierdoor zijn er berichten, voicemails, of oproepen bij andere mensen (collega’s) terechtgekomen |
|
1 | gegevens aan de juiste persoon verstuurd maar op een ander adres door tussentijdse aanpassing software |
|
1 | generieke account aangemaakt om te testen blijft toegankelijk (raadpleging RR) |
|
1 | automatisch doorsturing op e-mailaccount van een personeelslid van het autonoom gemeentebedrijf (AGB). |
|
1 | sociaal verslag de referentiepersoon en zijn gezin werd per vergissing uitgeprint vanop het OCMW naar de printer in de inkomsthal van het gemeentehuis (foutieve printerkeuze) |
|
1 | rondslingerende documenten |
|
1 | een overtreding staat beschreven op een wikipagina en deze was niet afgeschermd voor de rest van de organisatie |
|
Er werden in totaal 64 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | ongeoorloofd mondeling doorgeven van kandidaat in selectie aan huidige werkgever |
|
1 | personeelslid lijst aanwezigen kinderopvang afgeprint en opgenomen als doc in rechtszaak |
|
medewerker heeft medisch verslag doorgestuurd naar verzekering i.h.k.v. arbeidsongeval maar zonder medeweten van de patiënt (verslagen moeten via de patiënt of met toestemming van de patiënt aan de verzekering bezorgd worden) |
| |
1 | onrechtmatige toegang en inzage sociaal dossier en ook mondelinge doorgifte door tijdelijk personeelslid |
|
2 | mondeling doorgeven van informatie |
|
1 | badge doorgegeven door schepen voor journalistiek onderzoek zonder medeweten bestuur |
|
1 | vanuit de stad onterecht een lijst verstuurd aan de Lijn, die nadien gebruikt is in strijd met advies VTC (i.h.k.v derdebetalersregeling gratis pas 6 t.e.m.14-jarigen) |
|
1 | ex-inwoner woont nu in USA, kreeg brief waarop naam, adres en SSN vermeld waren. Met combinatie van deze gegevens kan je in US aan veel gegevens geraken. Deze burger stuurde wel zelf mails naar bestuur die hij ondertekende met deze gegevens |
|
Er werden in totaal 8 gevallen gemeld rond een gebrek aan kennis of het niet respecteren van regels.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | testen met productieve data op onbeschermde omgeving |
|
1 | na in productiestellen van software was er een datalek in identificatiesysteem. Dit systeem is bereikbaar via een loket. Lees- en/of schrijfrechten van alle gebruikers werden uitgebreid naar rechten op alle (niet-)gebruikers i.p.v. alleen eigen rechten |
|
1 | Misconfiguratie van een burgerloket ( kernapplicatie van de entiteit) na nieuwe release |
|
Er werden in totaal 3 gevallen gemeld rond een fout in een toepassing.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
4 | gebruikers kunnen teveel gegevens zien |
|
1 | rechtenbeheer portaal burger fout wegens update |
|
1 | e-loket met tijdelijk ongeoorloofde toegang tot volmachten van alle gebruikers | |
1 | onbeveiligde toegang tot een webservice om Rijksregister te bevragen door iedereen die toegang heeft tot het interne netwerk |
Er werden in totaal 7 gevallen rond gebruikers- en toegangsbeheer gemeld.
Gegevenslekken in verband met onderwijs
Kwaad opzet
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Een leerling heeft zich via een keylogger toegang kunnen verschaffen tot het wachtwoord en de smartschoolaccount van een personeelslid. |
|
1 | Leerlingen zagen de leerkracht zijn wachtwoord invoeren op leerlingvolgsysteem. Hebben wachtwoord doorgegeven, op smartschool ingelogd, printscreens gemaakt van resultaten,… |
|
1 | Hacking account leerlingvolgsysteem leerkracht door leerlingen (doel leerlingen eerder om punten te wijzigen, niet echt tot doel gehad om gegevens van andere leerlingen te bekomen) |
|
1 | Onrechtmatige toegang door leerlingen tot account leerlingvolgsysteem van een leerkracht | |
1 | Examenfraude: ongeoorloofde toegang leerlingen tot leerkrachtaccount van leerlingvolgsysteem: mogelijkheid toegang identificatiegegevens. Leerlingen, ouders, leerlingvolgsysteem, rapportmodule, berichten leerkracht |
|
1 | ongeoorloofde toegang door leerlingen tot puntensysteem, berichtensysteem en leerlingvolgsysteem van de leerkracht (leerlingen hebben gebruikersnaam en wachtwoord van leerkracht afgekeken) |
|
1 | wachtwoord gekraakt leerlingenvolgsysteem en gegevens verwijderd |
|
1 | wachtwoord leerkracht gekend bij leerlingen -examenfraude-mogelijks leerlingen gegevens geraadpleegd |
|
1 | hacking smartschoolaccount leerkracht waarna mails verstuurd naar andere leerkrachten en gegevens ingekeken van leerlingvolgsysteem van enkele leerlingen |
|
1 | gehackte account leerlingvolgsysteem collega |
|
Er werden in totaal 10 gevallen rond hacking gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | uittreksel leerlingenvolgsysteem als kladpapier |
|
1 | leerlingen mogelijkheid inkijken klasoverzicht tijdens les (en 1 leerling nam foto) |
|
Er werden in totaal 2 gevallen gemeld rond het niet kennen of toepassen van regels.