Overzicht gegevenslekken 2020
Kwaad opzet
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
46 | hacking mailbox door externen (openen van phishingmail door medeweker) (waarbij verdere phishingmails verstuurd werden) | Maatregelen kort na opmerken incident (curatief)
Maatregelen (voor toekomst)
Technische maatregelen
Organisatorische maatregelen
Procedurele afhandeling
|
3 | Idem met doorstuurregel Waaronder:
|
|
1 | Een dienstmailbox werd gehackt middels een brute force-aanval |
|
1 | Phising: contactendatabank van het lokaal bestuur werden gecompromitteerd. Contacten ontvingen phisingmails van account vanuit Turkije en Nigeria |
|
2 | Ethical hacking |
|
1 | Spear phishing (valse factuur): medewerker ontving link naar een valse Onedrivepagina waar het e-mailadres en wachtwoord ingegeven werden. Via dat e-mailadres werd een valse factuur dat zogezegd betaald moest worden naar een intern persoon verstuurd. |
|
1 | De verwerking van gegevens op de website (klantenportaal) om het beheer van het intranet en de goede werking ervan te waarborgen; webserver waarop het intranet draait werd gehackt voor vermoedelijke phishingdoeleinde. |
|
1 | Testdatabase verwerker voor het ontwikkelen van de website werd gehackt |
|
1 | Uitbuiting kwetsbaarheid firewall software |
|
2 | IT-platform werd gehackt waardoor de hacker toegang kreeg tot de server. |
|
1 | Login op mailbox medewerker. Enkele verstuurde mails werden verwijderd. |
|
1 | Onregelmatigheden vastgesteld met loginprofiel van werknemer |
|
1 | Account wordt toegewezen aan foutieve gebruiker |
|
1 | In overleg met het stadsbestuur organiseerde de ICT-leverancier het manueel herstarten van een host-servercomputer, die gegevens verwerkt voor het bestuur. Meerdere servermachines starten niet meer correct waaronder de antivirus en antimalware |
|
1 | Gepoogd om in te breken op oude server waar het vorige elektronisch patiëntendossier (EPD) op staat. Van oude firewall naar nieuwe firewall werd security policy geactiveerd die niet geactiveerd moest worden. Hierdoor was er toegang tot de oude EPD-server. |
|
2 | Hacking servers van hostingprovider van verwerker waardoor mogelijk ongeoorloofde toegang tot persoonsgegevens via de virtualisatieinfrastructuur | / |
1 | Ingevolge een gekende exploit is een succesvolle inbraakpoging ondernomen |
|
Er werden in totaal 64 gevallen rond hacking en phishing gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
5 |
| Maatregelen kort na opmerken incident (curatief)
Maatregelen (voor toekomst) Technische maatregelen
Organisatorische maatregelen
|
Er werden in totaal 5 gevallen rond ransom/cryptolocker gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
8 | Diefstal laptop/tablet/smartphone/USB-sticks | Maatregelen kort na opmerken incident (curatief)
Maatregelen (voor toekomst) Technische maatregelen
Organisatorische maatregelen
Procedurele afhandeling
|
4 | Diefstal tas met papieren documenten/niet digitale agenda met persoonsgegevens | Technische maatregelen
Organisatorische maatregelen
Procedurele afhandeling
|
Er werden in totaal 12 gevallen rond diefstal gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
10 | Vermoedelijke onrechtmatige inzage van een patiëntendossier/Rijksregister/bevolkingsregister/… voor persoonlijk gebruik. | Maatregelen kort na opmerken incident (curatief)
Maatregelen (voor toekomst) Organisatorische maatregelen
Procedurele afhandeling
|
3 | Onrechtmatig doorsturen van gegevens uit personeelsdossiers/Rijksregister | Maatregelen kort na opmerken incident (curatief)
Organisatorische maatregelen
Procedurele afhandeling
|
2 | Schending van het ambtsgeheim voor persoonlijk gewin |
|
1 | Werknemer neemt bij ontslag gegevens van werknemers/patiënten mee. |
|
Er werden in totaal 16 gevallen rond misbruik van toegang(srechten) gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Persoonsgegevens doorgeven aan de pers |
|
1 | Briefwisseling met handtekeningen die gedeeld werd op sociale media |
|
Er werden in totaal 2 gevallen gemeld rond publicatie op sociale media of via pers.
Fysiek verlies en onbeschikbaarheid
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Studentenkaarten aspirant-inspecteurs intern verloren gegaan |
|
1 | Enveloppe met facturen is ergens open gegaan en inhoud is er uitgevallen. De enveloppe kwam leeg aan op de boekhouding |
|
2 | Papieren dossier niet terug te vinden (in centraal archief). |
|
1 | Na het kopiëren van een aantal documenten op de printer van de Dienst Cultuur, zijn een drietal documenten met namen van leerlingen van de Zomerschool2020, deelnemers aan het Sportkamp blijven liggen op de tafel naast het kopieerapparaat. |
|
1 | Foutief uitgeprint document door medewerker dat op een printer van campus terecht kwam |
|
1 | onbeschikbaarheid gegevens (1werkdag) : |
|
7 | Tijdelijke niet beschikbaarheid van persoonsgegevens door tijdelijke onbereikbaarheid van elektronische gegevens opgeslagen op servers van leveranciers van cloud-toepassingen, en/of op servers van overheidsdiensten (7 meldingen 1 incident) |
|
Er werden in totaal 14 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.
Informatie komt ongewild bij verkeerde bestemmeling terecht
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | blijvende publicatie nadat de termijn voor openbaar onderzoek reeds was verstreken. |
|
1 | Het betreft een incident van twee lijsten die gepubliceerd zijn op de website van het agentschap. Deze lijst bevat het KBO-nummer, de bedrijfsnaam en het steunbedrag. |
|
1 | Publicatie persoonsgegevens van de winnaars van een eindejaarsactie via website gemeente en affiches |
|
1 | Op website v.d. stad kunnen onderwijsinstanties een bezoek aan de bib of één v.d. buurtfilialen aanvragen. Door het aan/afvinken v.e. optie in de ontwerpmodule v.h. formulier waren de ingevulde aanvraagformulieren leesbaar online en gecasht door Google |
|
1 | Bekendmaking naam en voornaam en adres van aanvrager speelstraat. Persoonsgegevens zijn (bij opzoeking) terug te vinden op het internet. |
|
1 | Publiceren besluitenlijst CBS op publieke website waarbij door een menselijke fout persoonsgegevens werden mee opgenomen in formulering van enkele besluiten. Voor omgevingsvergunningen geldt een publicatieplicht, was nu langer publiek dan normaal |
|
1 | In de raadpleegomgeving van de notuleringssoftware werd na een update door de softwareleverancier onterecht de inhoudelijke toelichting van de besluiten en de geheime zitting gepubliceerd op de website. In deze toelichting worden persoonsgegevens vermeld. |
|
1 | Aanroepen van gegevens via externe service (API) publiek beschikbaar. |
|
Er werden in totaal 8 gevallen gemeld rond ongewilde of onterechte publicatie.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Het dossier mbt een klacht heeft in een publieke map secretariaat gestaan, toegankelijk voor al het personeel |
|
1 | Een Excelbestand dat identificeerbare informatie bevat over de leefvergoedingen van gedetineerden die hun detentie uitzitten onder elektronisch toezicht, tijdelijk zichtbaar voor onbevoegde personeelsleden. Document op foute plaats opgeslagen |
|
8 | Emailadressen per ongeluk in CC gezet in plaats van BCC |
|
22 | Het versturen van een brief/e-mail naar een verkeerde geadresseerde (verkeerde persoon) door onachtzaamheid. o.a. na technisch falen bij de conversie van de adresgegevens op PDF naar mail ID, een manuele correctie plaats, waarbij fouten in adresgegevens | Maatregelen kort na opmerken incident (curatief)
Maatregelen (voor toekomst) Technische maatregelen
Organisatorische maatregelen
Procedurele afhandeling
|
1 | Burger kreeg foute uittreksel mee. De toepassing v.h. Centraal Strafregister blijkt soms bij een connectieprobleem de vorige aanvraag opnieuw op het scherm te tonen. Medewerker heeft niet gecontroleerd of naam correct was bij het meegeven v.h. uittreksel. |
|
13 | Het versturen van een e-mail met een verkeerde bijlage/teveel persoonsgegevens |
|
1 | Mail werd verstuurd naar emailadres dat geacht een voorbeeldadres/fictief adres te zijn |
|
| Door onjuiste gegevens |
|
1 | Door fusie twee gemeenten zijn aantal straatnamen gewijzigd. Werd gestuurd naar het adres voor de fusie. |
|
| Onvoldoende kennis |
|
1 | doorgeven rijksregisternummer aan advocaat |
|
1 | Informatie op verkeerde plaats ter inzage | / |
2 | onrechtmatig doorgeven van een detailfiche ophaling afvalcontainer aan huisvestigingsmaatschappij.
|
|
1 | Een bezwaarschrift werd doorgestuurd naar derden zonder de persoonsgegevens van de indieners de anonimiseren. |
|
Er werden in totaal 53 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Overschrijving naar verkeerd rekeningnummer |
|
1 | Technische fout bij versturen van aangifteformulieren belastingen per post |
|
1 | Foutieve configuratie van bestemmelingen voor elektronische externe communicatie vanuit het elektronisch patiënten dossier (EPD) door een EPD implementatiemedewerker van een ander ziekenhuis. |
|
1 | Door een technische fout op extranet van website werden op een webpagina met de instelling “private” de bijlagen (register inkomende post) opgeladen in een publieke map. |
|
1 | Covid: doordat er maar 10 personen digitaal geregistreerd kunnen worden diende de contactonderzoeker de gegevens van de 11e contact/patiënt schriftelijk te noteren op papier. Hierdoor raakte diens identiteit bekend bij de contactonderzoeker (of call agent?) |
|
1 | Een fout in een zakelijke applicatieplatform dat bestaat uit cloudgebaseerde apps voor CRM en ERP, waardoor medewerkers inzage hadden in e-mails van collega’s. |
|
Er werden in totaal 6 gevallen gemeld rond een fout in een toepassing.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
2
| Verkeerde rechtentoewijzing in notulensoftware waardoor gemeenteraadsleden en personeel gemeente en OCMW inzage kregen in de agenda en sociale dossiers en verslagen van het bijzonder comité voor de sociale dienst (BCSD) resp. een gemeenteraadslid |
|
1 | Betrokkene is tijdens een opleiding tot de ontdekking gekomen dat er toegang was tot eigen CV.
|
|
2 | Verkeerde rechtentoewijzing door misconfiguratie in ontwikkelcode. |
|
1 | Kwetsbaarheid ontdekt in de code authenticatieplatform voor burgers stad. Via url-manipulatie. |
|
1 | Ingebouwde rechtencontrole op het gebruik van de pagina niet correct. |
|
3 | onrechtmatige toegang door foute parameter |
|
Er werden in totaal 10 gevallen rond gebruikers- en toegangsbeheer gemeld.
Gegevenslekken in verband met onderwijs
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Diefstal van PC-login leerkracht. Leerling die gegevens gestolen heeft, heeft printscreens gemaakt van het leerlingvolgsysteem en deze naar de betrokken leerlingen doorgestuurd. |
|
1 | Derden (vermoedelijk leerlingen van de school) hebben ingelogd in een account van een leraar van de school |
|
1 | 2 leerlingen die zich onrechtmatig hebben toegang verschaft tot delen van de Smartschool-omgeving waartoe zij niet bevoegd zijn |
|
1 | Leerling gaf zijn/haar wachtwoord van Smartschool-account door aan andere leerling waardoor de laatste dan toegang had tot de mailbox. |
|
Er werden in totaal 4 gevallen rond hacking gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
/ |
|
|
Er werden geen gevallen rond ransom gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
/ |
|
|
Er werden geen gevallen rond phishing gemeld.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
/ |
|
|
Er werden geen gevallen rond diefstal gemeld.
Informatie komt ongewild bij verkeerde bestemmeling terecht
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Een PDF met daarin de rapporten van een bepaalde klas werd op een fileserver op een verkeerde plaats gezet, waardoor dit bestand door Google werd geïndexeerd en bijgevolg opzoekbaar was via Google. |
|
Er werd in totaal 1 geval gemeld rond Ongewilde/onterechte publicatie.
Aantal | Soort datalek | Genomen en geplande maatregelen |
---|---|---|
1 | Ouders konden 10 minuten persoonsgegevens van klasgenoten inkijken. Een klaslogin is meegegeven i.p.v. de login per klas. |
|
1 | Er werd een mail gestuurd naar een aantal ouders. Bij de mail moest een bijlage gevoegd worden, maar er werd geklikt op een verkeerde bijlage |
|
1 | Ouders ontvingen onbedoeld een link naar de databestanden van het aanmeldsysteem |
|
1 | Smartboard stond aan terwijl leerkracht smartschoolmailbox opende en tussen de berichtenlijst stond een mail v.d. klasleraar met als onderwerp ‘voornaam van de leerling-ADHD en autisme’ alle leerlingen konden dit zien. |
|
2 | het versturen van rapporten in leerlingenvolgsysteem naar leerlingen i.p.v. leerkrachten |
|
Er werden in totaal 6 gevallen gemeld rond Verkeerde bestemmeling of teveel of verkeerde informatie.