Gedaan met laden. U bevindt zich op: Overzicht gegevenslekken 2018-2019 Overzicht gegevenslekken reeds gemeld aan de VTC

Overzicht gegevenslekken 2018-2019

Kwaad opzet

Hacking en phishing
AantalSoort datalekGenomen en geplande maatregelen
2phishingmail met gehackte domeinnaam
  • paswoorden gewijzigd
  • logins gewijzigd
  • alle personeelsleden op de hoogte gebracht
  • technische maatregelen om inloggen te blokkeren vanuit verschillende landen
  • communicatie naar getroffen burgers
  • nieuwe sensibiliseringscampagne
  • aangegeven bij de politie
3phishingmail met gehackte account (mail en docshare)
  • cloudleverancier gecontacteerd vr analyse
  • communicatie via e-mail, informatieschermen, intranet
  • betrokkenen waarbij verdachte mailactiviteit verwittigd
  • als geklikt op link wachtwoord wijzigen
  • als verdachte activiteit wijzigt ICT wachtwoord
  • sensibilisering personeel
  • schadelijk document verwijderd
  • multifactor authentication gepland
  • concreter draaiboek melding datalekken
9phishingmail met infected (shared) link per mail waardoor toegang tot interne mailbox en van daaruit phishing verstuurd
  • externe IT-firma contacteren
  • scan systeem
  • webhistoriek nagekeken
  • proceshistoriek nagekeken
  • verwittigen collega’s
  • blokkeren gebruikersaccounts
  • verandering wachtwoorden
  • verandering wachtwoorden van alle accounts met zelfde wachtwoord
  • binnenkomende mails met hetzelfde onderwerp worden geblokkeerd
  • sensibiliseringsmails
  • meldingen VTC, CERT, verdacht@safeonweb.be(opent in uw e-mail applicatie) en politie
  • later nog sensibilisering gepland
  • PC offline gehaald
  • multi-factor authenticatie zal versneld ingevoerd worden
3phishingmail met poging tot CEO- en CFO-fraude
  • interne communicatie en sensibilisering
  • aangegeven bij de politie
  • melding (via centraal management Citrix) naar alle aangemelde gebruikers dat ze geforceerd werden afgemeld en verplicht een nieuw paswoord dienden aan te maken
  • Advanced Threat Protection werd geactiveerd op mail account van algemeen directeur
2hacking en phishing met autoforward (in overlap met andere vormen phishing)
  • paswoord reset
  • header geanalyseerd
  • instellingen webmail nagekeken
  • deactivering specifieke auto-forward
  • sensibilisering phishing
  • nakijken of autoforward inactiveren centraal kan
  • zoeken in logs naar info over mails
  • nakijken welke toegangen gekoppeld aan accounts
  • verdachte Url aan cloudleveranciers doorgegeven en werd geblokkeerd
  • melding bij CERT
  • 2factor authentication (2FA) invoeren
  • extra sensibilisering phishing
45phishing divers
  • melding (via centraal management Citrix) naar alle aangemelde gebruikers dat ze geforceerd werden afgemeld en verplicht een nieuw paswoord dienden aan te maken
  • Advanced Threat Protection werd geactiveerd op mail account van algemeen directeur
  • multi-factor authenticatie zal versneld ingevoerd worden
  • wachtwoord wijzigen
  • invoeren restrictiever wachtwoordbeleid
  • sensibilisering personeel
1website gehacked
  • personen werden verwittigd
  • tabel met gegevens werd verwijderd
  • wachtwoord aangepast
  • site beveiligen met certificaat
1malware en bestanden gewijzigd
  • virusscan
  • anti-malwarescan
  • melding aan CRT (Computer Security Incident Response Team)
  • herstellen beschadigde bestanden door back-up
  • sensibilisering personeel
1wachtwoord afgekeken*
  • alle verwerking werd afgesloten
  • paswoorden veranderd
  • dubbele authenticatie algemeen
  • toegang beperkter
  • ondervraging en sanctionering leerling(en)
  • verder onderzoek of meer leerlingen betrokken
1wachtwoord iemand anders misbruikt*
  • persoon geconfronteerd
  • wachtwoord gewijzigd
2account laten openstaan*
  • bewustwording
  • dubbele authenticatie en dienstorder daarover
  • schorsing en tuchtonderzoek
  • terechtwijzing
  • wijziging van administrator en/of gebruikerspaswoorden
  • intakeprocedure nieuwe personeelsleden aanpassen
1account na afsluiten einde tewerkstelling terug opgehaald
  • procedures bij uitdiensttreding uitschrijven met aandacht voor de rechten van betrokkenen en o.a. toepassing van het 4-ogen principe
1hacking door ex-medewerker
  • account vergrendeld en verwijderd
  • klacht politie
1ethische hacker
kwetsbaarheid in website – mogelijkheid tot kennisnemen van inhoud databank. Verder geen onrechtmatige raadplegingen teruggevonden in de beschikbare loggegevens
  • gegevens studenten verwijderd uit de database
  • website instellingen wijzigen → enkel nog intern bereikbaar
  • sensibilisering naam medewerkers
  • verder inzetten met Prepared Statements Mysql
  • wachtwoorden worden versleuteld met een sterkere hash

Er werden in totaal 74 gevallen rond hacking en phishing gemeld.

Ransom/Cryptolocker
AantalSoort datalekGenomen en geplande maatregelen
1ransomware
  • verwerker heeft diverse maatregelen genomen waaronder contact met het CERT (Computer Security Incident Response Team)
1ransomware: hacking server en backup; alle files geëncrypteerd. Na betaling losgeld code gekregen om alle files te ontsleutelen. Vermoeden dat hacker enkel financiële verrijking tot doel had. Gebaseerd op feedback van IT-expert en de FCCU (Federal Computer Crime Unit)
  • aangifte politie
  • telefonisch contact met FCCU
  • onze IT-partner (externe dienst) zorgt voor een voorlopige beveiliging
  • aankoop van een externe backup
  • hadden in 2019 al nieuwe backup, firewall en server aangekocht
1Infectie cryptolocker
  • aangifte politie
  • forensisch onderzoek FUCC
  • blokkeren geïnfecteerd account
  • wijzigen credentials
  • gespecialiseerde firma’s geconsulteerd
  • medewerkers gemeente verplicht paswoord te wijzigen en conform standaard te brengen

Er werden in totaal 3 gevallen rond ransom/cryptolocker gemeld.

Diefstal
AantalSoort datalekGenomen en geplande maatregelen
9diefstal PC en GSM en vandalisme
  • de wachtwoorden voor de accounts (ticketgang, e-mail) werden gewijzigd
  • SIMkaart geblokeerd
  • O365account verwijderd
  • aanmelden onmogelijk gemaakt
  • richtlijnen inbraakpreventie
  • fysieke beveiliging verbeteren
  • automatisch aanmelden in systemen met persoonsgegevens onmogelijk maken
  • afsluiten deel dienstverlening waar nodig
  • wachtwoorden moeten voldoen aan voorwaarden
  • wijziging administrator wachtwoorden
  • geëncrypteerde harde schijven/Bitlockerencryptie van PC’s
  • multifactor authenticatie
  • sensibilisering
  • aangegeven bij politie
7diefstal laptop, usb, sleutels
  • aangifte bij lokale politie
  • sensibilisering
  • afspraken herbekijken
  • Bitlocker encryptie
  • deactivatie computers in domein
  • wachtwoord gewijzigd
  • nieuwe toestellen worden nu in gesloten kast achtergelaten
  • installatie van camera’s in de omgeving van het gebouw is lopende
2diefstal server
  • technische maatregelen: data kunnen niet geraadpleegd worden buiten het intern netwerk
  • serverlokaal altijd gesloten houden
  • aangifte bij politie

Er werden in totaal 18 gevallen rond diefstal gemeld.

Misbruik toegang(srechten)
AantalSoort datalekGenomen en geplande maatregelen
1foto’s nemen van identiteitskaarten om te misbruiken
  • politioneel onderzoek
  • betrokkenen worden gecontacteerd
  • identiteitskaarten in vervolg in kluis
  • stagiairs geen toegang tot kluis
  • communicatie naar medewerkers
3eigen account misbruikt voor persoonlijke doeleinden (meestal Rijksregister)
  • gesprek met betrokken medewerker en/of
  • betrokken medewerkers werden ontslagen, na controle logbestanden
  • sensibilisering personeel
  • personeelslid in kwestie wordt formeel (brief) op de hoogte gebracht van feit dat dergelijke consultaties niet correct zijn
  • bespreking in dienstverband: grenzen scherp stellen
  • in toekomst zelf proactief steekproefsgewijs loglijsten screenen

Er werden in totaal 4 gevallen rond misbruik van toegang(srechten) gemeld.

2 van dit soort meldingen betrof problemen met een interim of stage, in dat geval werd:

  • interimaris gesensibiliseerd
  • VDAB gecontacteerd
Publicatie op sociale media of via pers
AantalSoort datalekGenomen en geplande maatregelen
6ongeoorloofde publicatie foto’s en filmpjes van bewoners, patiënten (op sociale media) door student/personeel*
  • opnames verwijderd
  • student van werkvloer
  • student geconfronteerd en verslag aan politie
  • nieuwsbrief naar studenten verpleegkunde: tegen normen en waarden, niet verspreiden, aanbod discreet gesprek
  • aangetekende brief naar personeel over regels
  • nakijken procedure stagiair
  • aangifte om voorbeeld te stellen
  • personeel ontslagen
  • personeel gewezen op regels via aangetekend schrijven
  • communicatie naar bewoners en familie, betrokkenen een persoonlijk gesprek
  • medewerker is van de werkvloer verwijderd naar een plek zonder contact met ouderen
  • medewerkers van het woonzorgcentrum worden nog eens extra gewezen op het incident en de social media policy
1foto’s kwetsbare kinderen gedeeld op facebook zonder toestemming directrice maar niet herkenbaar
  • gegevens laten verwijderen
  • leidinggevenden leefgroep verwittigd
  • sensibiliseren van en waarschuwing aan personeel
  • samenkomst ingepland met interne en externe DPO om procedures te bespreken
1datums en namen van geplande huwelijken 3 maanden - menselijke fout: op vraag van een politicus werden de gegevens toch doorgegeven door de verantwoordelijke voor de catering van het huwelijk aan de pers
  • vooral sensibilisering personeel
  • vraag aan de krant om lijst te vernietigen
  • er zal een nieuwe lijst ter beschikking worden gesteld van personen die toestemming gaven
1notulen gelekt door een raadslid, burger op sociale media geplaatst, omgevingsvergunning van een derde was hier zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt
  • bewustmakingscommunicatie Algemeen Directeur naar raadsleden
  • bewustmakingsessie door DPO met extra aandacht voor geheimhoudingsverplichtingen van mandatarissen
  • deontologische code
  • huishoudelijk reglement
1ontslagbrief algemeen directeur persnota (opgesteld door oppositie) citeert letterlijk uit deze ontslagbrief, werd ook op sociale media gepubliceerd(behandeld i.k.v. klacht)

Er werden in totaal 10 gevallen gemeld rond publicatie op sociale media of via pers.

Fysiek verlies en onbeschikbaarheid

Fysiek verlies
AantalSoort datalekGenomen en geplande maatregelen
2postpakket beschadigd bij de post
  • klacht bij de post om te recupereren
  • persoonlijk overhandigen
  • zoveel mogelijk digitaal
1papieren met gevoelige informatie weggewaaid
  • transport enkel nog 100% bewaakt en met beveiligde boxen
  • papieren documenten vervangen door digitaal
6verlies papieren documenten
  • papieren documenten vervangen door digitaal (binnen 3 maanden)
1verlies niet geëncrypteerde USB-sticks
  • USB-gebruik voor persoonsgegevens wordt afgeraden
2verlies niet-geëncrypteerde usb-stick via post ihkv installatie van informaticasystemen
  • trainingen om te voorkomen dat niet langer USB-sticks worden gebruikt voor het offline installeren en importeren van bepaalde gegevens
  • gebruik van zwaar beveiligde en encrypteerde USB-sticks
  • offline importeren van gegevens beperken tot minimum
1verlies persoonlijke PC vrijwilliger digitalisering
  • vertrouwelijkheidsverklaring
  • geen persoonlijke PC’s meer
  • toegangsbeheer
  • kopies van registers bij vrijwilligers vernietigen

Er werden in totaal 13 gevallen rond fysiek verlies gemeld.

Onbeschikbaarheid van persoonsgegevens
AantalSoort datalekGenomen en geplande maatregelen
1uitgevallen servers (onbeschikbaarheid gegevens)
  • metingen verricht
  • aangifte bij politie
  • camerabeelden onderzocht
1technisch defect van netwerk-switch en serverruimtekoeling → tijdelijke, volledige onbeschikbaarheid van het interne computernetwerk, de informatie bewaard op computerservers, en de communicatie over het computernetwerk
  • vervanging van de defecte apparaten
  • versleuteling sociale persoonsgegevens
  • veel voorstellen DPO (storingsmelding, operationele parameters in de serverruimte,…)
1corrupte backupschijf/MySQL database die corrupt (dus onleesbaar) geworden is (oorzaak onbekend)
  • terugzetten backup
  • contact Rijksregister over correcte doorstroming gegevens
  • contact met softwareleverancier

Er werden in totaal 3 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie
AantalSoort datalekGenomen en geplande maatregelen
5online zetten informatie die niet online mocht komen
  • informatie/document(en) werd onmiddellijk verwijderd
  • configuratie aangepast
  • afspraken rond publiceren en vertrouwelijkheid
  • procedure herzien en openbaar en besloten deel als aparte zitting agenderen
  • procedure verificatie alvorens online publiceren
  • sensibilisering
1verkeerdelijke publicatie op website van thuisadres door onvoldoende kennis welke velden databank wel en niet publiek toegankelijk worden geplaatst
  • adressen in de databank vooral ingevuld met werkadres, zodat dit op de website verschijnt
  • op teamvergadering iedereen geïnformeerd over het correct gebruik van alle velden binnen de toepassing
2online zetten informatie zonder bescherming
(waaronder in een testomgeving)
  • de documenten werden op ‘besloten’ gezet
  • de gelekte gegevens zijn gedesindexeerd
  • DMS werd geblokkeerd voor zoekmachines
  • opstarten inventarisatie van documenten die mogelijk ook persoonsgegevens bevatten
  • url niet geïndexeerd en complex
  • sluitend loggingsysteem
  • basic authenticatie voor de toepassing op de ontwikkelomgevingen
  • ook op de testomgeving een bijkomende netwerkbeveiliging
1online formulier met mogelijkheid URL manipulatie zodat gegevens gebruikers openbaar konden gemaakt worden
  • dienstverlening afgesloten
  • ontwikkelen nieuw formulier
4een niet-ingelogde gebruiker kon aanvraag andere gebruiker zien door URL te wijzigen.
  • hotfix op de productiedatabase
  • integratietesten die niet-ingelogde url’s automatisch controleert op gevoelige informatie
1openbaargemaakte notulen gemeenteraad met persoonsgegevens
  • geen (notulen gemeenteraad blijven openbaar)
  • advies aan de gemeenteraad
1publiceren vertrouwelijke persoonsgegevens op de website binnen de gebruikte software tool. Administratieve fout: publicatie notulen van een besloten zitting. Reden is een onvoldoende kennis van de werking van de gebruikte notuleringstool
  • in herinnering brengen van handleiding notuleringstoepassing
  • sensibilisering van alle personeelsleden rond de definitie van een gegevenslek en de vraag om dit steeds te melden bij de DPO
5ongewilde publicatie persoonsgegevens website
  • onmiddellijke depublicatie
  • afspraken rond publiceren en vertrouwelijkheid van persoonsgegevens in herinnering brengen
  • sensibilisering
1op het een (portaal)site worden ingediende eindverslagen gepubliceerd. Bij deze eindverslagen waren een klein aantal persoonsgegevens zichtbaar onder specifieke omstandigheden
  • correcte versie teruggeplaatst
  • authorisatie gerelateerde code v/h volledige portaal herbekeken
  • bij nieuwe releases portaal komt er een testpanel
  • rechtenbeheer zal kritisch worden bekeken en vereenvoudigd
1forensische audit, door Audit Vlaanderen; Publicatie door één of meerdere personen in de verzendlijst. Onterechte publicatie rapport.
  • melding aan Audit Vlaanderen

Er werden in totaal 22 gevallen gemeld rond ongewilde of onterechte publicatie.

Onachtzaamheid e-mail/brieven/documenten
AantalSoort datalekGenomen en geplande maatregelen
1brief naar verkeerde persoon door fout post
  • opnieuw versturen van brieven
  • beter controle bij versturen
18Mail/brief aan verkeerde geadresseerde
  • e-mail bij verkeerd geadresseerde werd verwijderd, enkel interne medewerker
  • sensibilisering medewerkers
  • vraag om mail te verwijderen
1verkeerd RR (zelfde naam en geboortedatum) waardoor foute facturatie
  • alle instanties verwittigd dat RRN verkeerd was
  • DPO verwittigd en gevraagd patiënt in te lichten
  • facturatie tegengehouden
  • administratieve rechtzetting
1telefoonnummer foutief doorgeschakeld (gevoelige informatie)
  • doorschakeling aangepast
  • briefing personeel: geen info meer op voicemail
1mailen met teveel bestemmelingen zichtbaar (gevoelige informatie)
  • bewustmaking op teamoverleg
  • opleiding interne kwaliteit
10mail met bestemmelingen in CC ipv BCC
  • communicatie naar geadresseerden met de vraag om de mail met e-mailadressen te verwijderen en de gegevens vertrouwelijk te behandelen
  • awareness sessies bij personeel
10mailen informatie naar verkeerde persoon (gevoelige informatie) - ook via (leerlingenvolg)systemen
  • beslissing om geen inhoudelijke gegevens meer te verspreiden via mail
  • zoeken naar uitwisseling van informatie via een ander veiliger systeem
  • ter inzage leggen op stadhuis of OCMW
  • er wordt gezocht naar veiliger manier om brieven te bezorgen, via beveiligde link
  • organisatorische maatregelen om juiste adressenlijsten te raadplegen
  • meteen contact genomen en gewist (zelf of bevestiging gevraagd)
  • kennisgeving aan bedoelde ontvanger
  • vermelding op teamoverleg
  • bewustwordingscampagnes
  • software gecorrigeerd
  • twee maanden voorafgaand aan de actualisatie van de gegevens geen tussentijdse aanpassing software meer
1per vergissing van een betrokkene diens follow up (dienst tewerkstelling) aan werkgever bezorgd i.p.v. CV. (i.h.k.v. digitale verwerking gegevens per email)
  • potentiële werkgever gecontacteerd met vraag het ten onrechte ontvangen document te verwijderen
  • opmaak werkinstructie en communicatie hieromtrent
  • sensibilisering, bewustmaking m.b.t. persoonsgegevens
  • werken met beveiligde email
1onoplettendheid van medewerker bij doorsturen fiscaal attest naar 1 externe persoon. Deze verkreeg daardoor niet bedoeld inzage in meer dan 500 documenten
  • ontvanger heeft attesten verwijderd uit systeem
  • attesten kunnen door de ouders na inloggen gedownload worden
  • attesten worden niet meer per mail verstuurd. Bij problemen kunnen deze na aanvraag en op papier worden afgehaald aan de receptie
4mailen teveel informatie naar teveel personen handmatig
  • gesprek met diegene die mail verstuurd heeft (en de betrokkene)
  • sensibilisering van de personen die toegang hebben tot de informatie
  • overleg met directie en medewerkers
  • controle op reply-to-all
1notulen gelekt door een raadslid en door burger op sociale media geplaatst, omgevingsvergunning van een derde was zichtbaar, bewustmakingscommunicatie van algemeen directeur naar raadsleden ook gelekt
  • bewustmakingscommunicatie Algemeen Directeur naar raadsleden
  • bewustmakingsessie door DPO met extra aandacht voor geheimhoudingsverplichtingen van mandatarissen
  • deontologische code
  • huishoudelijk reglement
1fout in manueel aangemaakte lijst voor koppeling digitale loonbrieven
  • verwerker heeft foutieve loondocumenten onzichtbaar gemaakt
  • bijkomende controle op manuele handeling: afspraak gemaakt dat één medewerker deze lijst opstelt en een andere een controle uitvoert
  • garanties inbouwen dat controle effectief plaatsvindt
1dienst Personeel van de gemeente stuurde de lijst met alle personeelsleden van het OCMW (niet enkel de gedetacheerde statutairen) door naar het Zorgbedrijf (n.a.v. RIZIV aangifte)
  • contactname Zorgbedrijf vernietiging lijst(en)
  • vernietiging lijst(en)
  • sensibiliseren medewerkers
  • gefilterde aanlevering persoonsgegevens (softwarematig of manuele bezorging op vertrouwelijke wijze)
2mailen te veel informatie naar teveel personen geautomatiseerd
  • automatische verzending naar andere adressen stilgelegd
  • juiste parameters (bij API-call) toegevoegd
  • uitbreiding testomgeving
1foutieve koppeling van patiënt in elektronisch patiëntendossier → dossier patiënt A bij patiënt B en zijn huisarts. Foute manuele, eenmalige link tussen 2 systemen
  • onderzoek
  • feedback vragen aan instellingen die met zelfde pakket werken
  • verwerker maatregelen vragen om meer zekerheid in te bouwen zodat een foute koppeling niet meer mogelijk is
  • informeren betrokkene
1door foute manipulatie extern supportteam hadden medewerkers tijdelijk ongeoorloofde toegang tot persoonsgegevens van hun collega’s (+/- 10)
  • gebruik v.d. applicatie tijdelijk geblokkeerd
  • contact opgenomen externe partner om te onderzoeken
1inschrijving bij verkeerde entiteit door fout in software
  • de inschrijvingen werden onmiddellijk aangepast (na 1 werkdag)
  • er werd aan leverancier gevraagd software aan te passen
1Verspreiding digitale loonbrief via een digitale brievenbus. Aantal collega’s kregen loonbrief van maand mei van één andere collega.
  • loonbrieven werden onzichtbaar gemaakt
  • nieuwe testen uitgevoerd
  • overleg HR-dienstverlener, leverancier digitale brievenbus, andere softwareleverancier en provinciebestuur
  • implementatie gefaseerde uitrol loonbrieven
1Bij een migratie van telecomoperator heeft de nieuwe verkeerde telefoonnummers toegekend aan 180 personen. Hierdoor zijn er berichten, voicemails, of oproepen bij andere mensen (collega’s) terechtgekomen
  • nodige technische acties ondernomen om de fout recht te zetten (samen met nieuwe telecomoperator en hun onderaannemer)
  • betrokkenen verwittigd, en verzocht om de privacy van collega’s te respecteren
  • juridische stappen overwogen naar nieuwe telecomoperator
1gegevens aan de juiste persoon verstuurd maar op een ander adres door tussentijdse aanpassing software
  • software gecorrigeerd
  • er zal gedurende twee maanden voorafgaand aan de actualisatie van de gegevens geen tussentijdse aanpassing van de software meer worden gedaan
1generieke account aangemaakt om te testen blijft toegankelijk (raadpleging RR)
  • afsluiten verwerking
  • wijzigen toegangsrechten
1automatisch doorsturing op e-mailaccount van een personeelslid van het autonoom gemeentebedrijf (AGB).
  • lijst getrokken met de e-mails die naar het e-mailadres werden doorgestuurd, zodat later eventueel nog een detail-inschatting kan gedaan worden van de impact in die periode
  • regelmatig valideren of er onterechte forwards zijn ingesteld
1sociaal verslag de referentiepersoon en zijn gezin werd per vergissing uitgeprint vanop het OCMW naar de printer in de inkomsthal van het gemeentehuis (foutieve printerkeuze)
  • bespreking incident in de IVC
1rondslingerende documenten
  • bewustwordingscampagne
  • er wordt aan alle printers en aan het faxapparaat een herinnering gehangen om geen documenten achteloos achter te laten, evenmin in burelen, vergaderlokalen of elders in het gemeentehuis
1een overtreding staat beschreven op een wikipagina en deze was niet afgeschermd voor de rest van de organisatie
  • wikipagina afgeschermd
  • GDPR- en cybersecurity infosessies waarin steeds herhaald wordt dat het belangrijk is om wikipagina’s af te schermen indien nodig
  • bevoegde personen afzonderlijk ingelicht
  • betrokken geïnformeerd

Er werden in totaal 64 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.

Gebrek aan kennis/Niet respecteren regels
AantalSoort datalekGenomen en geplande maatregelen
1ongeoorloofd mondeling doorgeven van kandidaat in selectie aan huidige werkgever
  • gesprek met betrokken personeelsleden, informeren betrokkene;
  • herhaling vertrouwelijkheids-verplichtingen
1personeelslid lijst aanwezigen kinderopvang afgeprint en opgenomen als doc in rechtszaak
  • sanctionerende en preventieve maatregelen, bewustmaking
medewerker heeft medisch verslag doorgestuurd naar verzekering i.h.k.v. arbeidsongeval maar zonder medeweten van de patiënt (verslagen moeten via de patiënt of met toestemming van de patiënt aan de verzekering bezorgd worden)
  • instructies aan personeel over correcte manier van afhandelen
  • werkgroep samengeroepen om werkinstructies op te stellen: opmaak van een toestemmingsformulier en een procedure
1onrechtmatige toegang en inzage sociaal dossier en ook mondelinge doorgifte door tijdelijk personeelslid
  • extra aandacht besteden aan discretie en deontologie bij toekomstige aanwervingen
2mondeling doorgeven van informatie
  • veiligheidsbeleid wordt verder uitgewerkt
  • procedure voor informatieverstrekking
  • er wordt extra gehamerd op het loggen elk contact
  • betrokkene werd geïnformeerd over datalek
1badge doorgegeven door schepen voor journalistiek onderzoek zonder medeweten bestuur
  • blokkeren toegangsbadge
  • escalatie naar het college en de Algemeen Directeur
  • bespreking op IVC
  • meeting leverancier verhogen veiligheid
  • invoeren badgehouders die kopies tegengaan
  • interne communicatie
  • nieuw toegangscontrolesysteem
1vanuit de stad onterecht een lijst verstuurd aan de Lijn, die nadien gebruikt is in strijd met advies VTC (i.h.k.v derdebetalersregeling gratis pas 6 t.e.m.14-jarigen)
  • volledige heronderhandeling van de te volgen procedure om het derdebetalerssysteem te kunnen toepassen in overeenstemming met het advies van de VTC
1ex-inwoner woont nu in USA, kreeg brief waarop naam, adres en SSN vermeld waren. Met combinatie van deze gegevens kan je in US aan veel gegevens geraken. Deze burger stuurde wel zelf mails naar bestuur die hij ondertekende met deze gegevens
  • interne communicatie met alle personeelsleden van de dienst over wat gebeurde. Aangeven dat dergelijke info niet op de buitenzijde mag vermeld worden

Er werden in totaal 8 gevallen gemeld rond een gebrek aan kennis of het niet respecteren van regels.

Fout in toepassing
AantalSoort datalekGenomen en geplande maatregelen
1testen met productieve data op onbeschermde omgeving
  • url niet geïndexeerd en complex
  • sluitend loggingsysteem
  • basic authenticatie voor de toepassing op de ontwikkelomgevingen
  • vraag is gesteld aan de ontwikkelaar om ook op deze omgeving een bijkomende netwerkbeveiliging op te zetten
1na in productiestellen van software was er een datalek in identificatiesysteem. Dit systeem is bereikbaar via een loket. Lees- en/of schrijfrechten van alle gebruikers werden uitgebreid naar rechten op alle (niet-)gebruikers i.p.v. alleen eigen rechten
  • code die probleem veroorzaakte is aangepast
  • meer aandacht besteden aan het belang van testen (opgenomen in onze release-procedure)
1Misconfiguratie van een burgerloket ( kernapplicatie van de entiteit) na nieuwe release
  • vanaf Q3 ItsMe (voorlopig vrijblijvend) aangeboden
  • bijkomende richtlijnen ontwikkeling rond waar welke “services” staan
  • proces melding van SL naar I&T bij security gerelateerde incidenten bijwerken
  • password reset burgers

Er werden in totaal 3 gevallen gemeld rond een fout in een toepassing.

Gebruikers- en toegangsbeheer
AantalSoort datalekGenomen en geplande maatregelen
4gebruikers kunnen teveel gegevens zien
  • afsluiten rapporten/verwijderen informatie
  • correctie toegangscontrole/foutieve rechten
  • extra nazicht autorisatie andere rapporten
  • het rechtenbeheer zal kritisch worden bekeken en vereenvoudigd waar mogelijk
  • contacteren raadplegers en verwijdering eventuele download
  • communicatie naar sector, bedrijven, kabinet, VTC, betrokken agentschap
  • telefonische permanentie weekend
  • post-mortem in veiligheidscomité
  • bepalen oorzaak programmatiefout (het stond correct in de analyse)
  • testen (met de juiste gebruikers)
  • bepalen oorzaak niet-detecteren probleem in testfase
  • aanpassen procedures, instructies
  • extra bewustmaken correct en veilig programmeren
1rechtenbeheer portaal burger fout wegens update
  • het lek werd meteen dezelfde dag gedicht
  • het rechtenbeheer zal kritisch worden bekeken en vereenvoudigd waar mogelijk
  • bij nieuwe releases zal een testpanel van archeologen worden samengesteld
1e-loket met tijdelijk ongeoorloofde toegang tot volmachten van alle gebruikers
1onbeveiligde toegang tot een webservice om Rijksregister te bevragen door iedereen die toegang heeft tot het interne netwerk

Er werden in totaal 7 gevallen rond gebruikers- en toegangsbeheer gemeld.

Gegevenslekken in verband met onderwijs

Kwaad opzet

Hacking
AantalSoort datalekGenomen en geplande maatregelen
1Een leerling heeft zich via een keylogger toegang kunnen verschaffen tot het wachtwoord en de smartschoolaccount van een personeelslid.
  • beslissing genomen om meteen multi-factor-authenticatie (MFA) in te schakelen
1Leerlingen zagen de leerkracht zijn wachtwoord invoeren op leerlingvolgsysteem. Hebben wachtwoord doorgegeven, op smartschool ingelogd, printscreens gemaakt van resultaten,…
  • in overleg gegaan met het CLB om met de betrokken leerlingen een sensibiliseringstraject op te starten
  • verplichte dubbele authenticatie (2FA) van alle personeelsleden
1Hacking account leerlingvolgsysteem leerkracht door leerlingen (doel leerlingen eerder om punten te wijzigen, niet echt tot doel gehad om gegevens van andere leerlingen te bekomen)
  • wijziging wachtwoord
  • 2-factor (2FA) verificatie ingesteld voor betrokken leerkracht
  • nieuwe sensibilisering voor alle collega’s om nieuw (en veilig) wachtwoord te kiezen
  • stappenplan meegegeven voor het controleren van aanmeldingen op eigen account
1Onrechtmatige toegang door leerlingen tot account leerlingvolgsysteem van een leerkracht
1Examenfraude: ongeoorloofde toegang leerlingen tot leerkrachtaccount van leerlingvolgsysteem: mogelijkheid toegang identificatiegegevens. Leerlingen, ouders, leerlingvolgsysteem, rapportmodule, berichten leerkracht
  • bewustmaking
  • awareness vergroten
1ongeoorloofde toegang door leerlingen tot puntensysteem, berichtensysteem en leerlingvolgsysteem van de leerkracht (leerlingen hebben gebruikersnaam en wachtwoord van leerkracht afgekeken)
  • wachtwoord leerkracht gewijzigd
  • dubbele authenticatie ook invoeren voor leerkrachten
1wachtwoord gekraakt leerlingenvolgsysteem en gegevens verwijderd
  • paswoorden werden aangepast
  • klacht werd ingediend bij de politie
  • daders werden geïnterpelleerd
  • bewustwording van wat betreft beveiliging paswoorden
  • op centraal niveau opstart DPIA rond leerlingenvolgsysteem
1wachtwoord leerkracht gekend bij leerlingen -examenfraude-mogelijks leerlingen gegevens geraadpleegd
  • account leerkracht gewijzigd
  • sensibiliseren leerkrachten en leerlingen
  • 2-factor (2FA) authenticatie
  • betrokkenen zijn geïnformeerd
1hacking smartschoolaccount leerkracht waarna mails verstuurd naar andere leerkrachten en gegevens ingekeken van leerlingvolgsysteem van enkele leerlingen
  • op systematische basis zal het technisch worden afgedwongen wachtwoorden te veranderen na 6 maanden
  • aanvullend nog extra sensibilisering voorzien worden voor schoolpersoneel
1gehackte account leerlingvolgsysteem collega
  • verandering van het paswoord van de Smartschoolaccounts

Er werden in totaal 10 gevallen rond hacking gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Niet kennen of toepassen regels

AantalSoort datalekGenomen en geplande maatregelen
1uittreksel leerlingenvolgsysteem als kladpapier
  • instructie ofwel vernietigen ofwel correct klasseren
  • minder details noteren over persoonlijke omstandigheden leerlingen (VTC)
1leerlingen mogelijkheid inkijken klasoverzicht tijdens les (en 1 leerling nam foto)
  • klasgesprek met de leerlingen
  • leerlingen vragen fotomateriaal te verwijderen
  • leerkracht aanraden klasoverzichten met gevoelige gegevens niet af te printen en mee te nemen naar les
  • nieuwe richtlijnen worden duidelijk gecommuniceerd aan leerkrachten

Er werden in totaal 2 gevallen gemeld rond het niet kennen of toepassen van regels.