Gedaan met laden. U bevindt zich op: Overzicht gegevenslekken 2021 Overzicht gegevenslekken reeds gemeld aan de VTC

Overzicht gegevenslekken 2021

Kwaad opzet

Hacking en phishing
AantalSoort datalekGenomen en geplande maatregelen

61

Hacking mailbox (door phishing) door externen (waarbij verdere phishingmails verstuurd werden)

  • MFA instellen voor mailbox
  • sensibilisering
  • phishingfilters kantoortoepassing strikter afstellen
  • aanpassen wachtwoordbeleid
  • forwarding naar externe e-mailadressen is onmogelijk gemaakt

1

Hacking van het platform voor thuiswerken

  • sensibilisering

1

Hacking van account dat gebruikt werd door medewerker voor aanmaak formulieren

  • tweestapverificatie ingeschakeld
  • overstappen op veiliger formulierentoepassing andere leverancier
  • gegevens die niet meer doelmatig zijn permanent wissen en bewaartermijnen strikt toepassen
  • sensibilisering
  • aangifte bij politie

1

Hacking door collega’s van de account van een andere collega voor de IT toepassing voor tijdregistratie. Inloggegevens hingen zichtbaar aan de pc.

  • clean desk policy doorvoeren
  • overwegen MFA

Er werden in totaal 65 gevallen rond hacking en phishing gemeld.

Ransom/Cryptolocker
AantalSoort datalekGenomen en geplande maatregelen

1

Ransomware aanval (met wissen van gegevens, inclusief externe back-up)

  • optimaliseren firewall
  • extra update anti-virusprogramma

Er werd in totaal 1 geval rond ransom/cryptolocker gemeld.

Diefstal
AantalSoort datalekGenomen en geplande maatregelen

10

Diefstal van laptop(s) en/of vaste computer(s)

  • multifactorauthenticatie
  • encryptie laptops
  • automatisch aanmelden in systemen met persoonsgegevens onmogelijk maken.
  • richtlijnen gebruik werkmateriaal (hardware en software) bij thuiswerk (i.f.v. inbraakpreventie en informatieveiligheid)
  • invoeren mdm systeem waardoor computers op afstand gewist kunnen worden
  • maatregelen in verband met het sleutelbeleid en indien nodig plaatsen van nieuwe sloten.

2

Diefstal handtas met nota’s met persoonsgegevens

  • herinnering per mail aan alle medewerkers om géén spullen achter te laten in de wagen en om deze zo veel als mogelijk op de werkplek te bewaren.

Er werden in totaal 12 gevallen rond diefstal gemeld.

Misbruik toegang(srechten)
AantalSoort datalekGenomen en geplande maatregelen

2

Een opzoeking in het Rijksregister zonder geldige reden

  • tuchtmaatregel

1

Vrijwilliger die zich toegang heeft verschaft tot verslagen met persoonsgegevens

  • gesprek met medewerker die geprinte teamverslagen op zijn bureau had liggen
  • gesprek met cliënt/vrijwilliger over het gebruik van de sleutel en eventueel afnemen van de sleutel.

Er werden in totaal 3 gevallen rond misbruik van toegang(srechten) gemeld.

Publicatie op sociale media of via pers
AantalSoort datalekGenomen en geplande maatregelen

1

Het bewust verspreiden van persoonsgegevens naar de pers

  • gerechtelijke procedure
  • nakijken of de geheimhoudingsverklaringen effectief door iedereen goed zijn ondertekend
  • dagelijks ’s ochtends een briefing houden waar de vertrouwelijkheid wordt toegelicht o.b.v. de maatregelen/verplichtingen die in de geheimhoudingsverklaring worden opgelegd.

1

Doorgifte beelden camerabewaking aan onbevoegden die deze op sociale media postte.

  • sensibilisering
  • ontvanger werd gevraagd de beelden te verwijderen

1

Onrechtmatig gebruik en publicatie van een intern document op sociale media

  • sensibilisering

Er werden in totaal 3 gevallen gemeld rond publicatie op sociale media of via pers.

Fysiek verlies en onbeschikbaarheid

Onbeschikbaarheid van persoonsgegevens
AantalSoort datalekGenomen en geplande maatregelen

2

Onbeschikbaarheid van persoonsgegevens door een probleem bij de verwerker bij doorschakeling naar de juiste IP-adressen

  • opvragen van duidelijker sla-overeenkomsten
  • aparte of bijkomende back-up-systemen om herhaling van dit voorval te voorkomen

1

Het achtergelaten kassaticket van een apotheek met medische gegevens van een minderjarig kind

  • sensibilisering

Er werden in totaal 3 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie
AantalSoort datalekGenomen en geplande maatregelen

9

het publiceren van een akte/document met persoonsgegevens op de website

  • sensibilisering
  • controle van de documenten alvorens publicatie wordt benadrukt bij de toepasselijke diensten

1

het posten van een foto op sociale media van een e-mail met e-mailadressen zichtbaar

  • sensibilisering omtrent phishing

Er werden in totaal 10 gevallen gemeld rond ongewilde of onterechte publicatie.

Onachtzaamheid e-mail/brieven/documenten
AantalSoort datalekGenomen en geplande maatregelen

20

Het versturen van een e-mail met de bestemmelingen niet in bcc waardoor deze voor iedereen zichtbaar waren.

  • onderzoeken door ICT dienst of een waarschuwingsmelding ingesteld kan worden om ongewilde verspreiding van grote hoeveelheden e-mailadressen te voorkomen.
  • onderzoeken of dergelijke communicatie niet op andere manier dan e-mail kan, waarbij adressen bestemmelingen per definitie niet gedeeld worden.
  • sensibilisering

21

Het versturen van een brief/e-mail naar een verkeerde geadresseerde (verkeerde persoon) door onachtzaamheid.

  • sensibilisering
  • geen identificerende gegevens vermelden in e-mails
  • afraden om te mailen over personen
  • verkeerde ontvanger(s) vragen om brief te vernietigen/terug te sturen

5

Het versturen van een document naar een verkeerd adres (juiste persoon maar verkeerd of oud adres, hierdoor terecht gekomen bij een verkeerde persoon).

  • geven van een waarschuwing aan het personeelslid dat brieven verstuurde
  • verkeerde adres wissen

1

Een fout in het softwarepakket waardoor brieven naar verkeerde bestemmelingen verstuurd werden

  • in de toekomst brieven versturen op basis van adres dat op de berekening staat, niet op basis van de info op de samengevoegde brieven.
  • softwarepakket herkent info en zoekt hiervoor automatisch een adres. dit zal in de toekomst niet meer gebeuren.

7

Het versturen van een e-mail met een verkeerde bijlage/teveel persoonsgegevens

  • sensibilisering
  • ontvangers gevraagd e-mail te verwijderen en dit te bevestigen

1

Een kennisgevingsbrief van een GAS-boete werd gekoppeld aan een proces-verbaal van een andere overtreder

  • aankoop softwareprogramma waar het proces automatisch uitgevoerd wordt.
  • kennisbrieven worden gekoppeld aan digitale processen-verbaal door matching van het unieke proces-verbaal nummer.
  • zolang manuele koppeling noodzakelijk is, op regelmatige basis steekproeven uitvoeren.

1

Het bewust versturen van een document aan een aanvrager van een omgevingsvergunning met persoonsgegevens van andere aanvragers (omdat anders een termijn overschreden werd).

  • sensibilisering

1

Het versturen van betalingsuitnodigingen waarbij de voor- en achterkant van de betaaluitnodiging niet bij elkaar paste, waardoor de betrokken burgers eveneens de identificatiegegevens van een andere burger te zien kregen.

  • alle nodige aanpassingen in het systeem van de verwerker zijn doorgevoerd, waardoor het volledig proces is geautomatiseerd en waardoor een soortgelijk incident zich niet meer kan herhalen.

1

Een document dat bij het huisvuil werd weggegooid en gevonden werd door een burger

  • sensibilisering

1

Gesloten punt van de gemeenteraad te horen op livestream via YouTube

  • sensibilisering

Er werden in totaal 59 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.

Gebrek aan kennis/Niet respecteren regels
AantalSoort datalekGenomen en geplande maatregelen

1

Doorsturen van persoonsgegevens naar derden zonder toestemming van de betrokkenen

  • sensibilisering

2

Persoonsgegevens die door de gemeente werden doorgegeven aan een gerechtsdeurwaarder/politie zonder wettelijke basis.

  • medewerker werd gewezen op de fout
  • aandacht geven aan verstrekken van data aan politie (en andere organisaties) in toekomstige bewustmakingssessies
  • bestaande procedure werd opnieuw onder de aandacht gebracht

Er werden in totaal 3 gevallen gemeld rond Gebrek aan kennis/Niet respecteren regels.

Fout in toepassing
AantalSoort datalekGenomen en geplande maatregelen

Zie Gebruikers- en Toegangsbeheer hierna.

Gebruikers- en toegangsbeheer
AantalSoort datalekGenomen en geplande maatregelen

3

Verkeerde instelling waardoor persoonsgegevens van andere burgers konden gedownload worden of zichtbaar waren

  • instellingen werden aangepast

4

Rechten op server werden verkeerd ingesteld door verwerker

  • afsprakenkader met verwerker wordt herbekeken
  • rechten aanpassen

9

Het (onbewust) verlenen van toegang tot gegevens voor alle medewerkers terwijl dit niet de bedoeling is.

  • rechten aanpassen

1

Een ex-medewerker die na uitdiensttreding nog toegang had tot de mailbox via de persoonlijke smartphone

  • medewerkers hebben geen toegang meer tot de mailbox vanop hun persoonlijke smartphone
  • migratie naar andere kantoortoepassing werd gedaan en alles werd goed gezet.

1

Door de foutieve koppeling in een profiel kreeg lid A het profiel van lid B te zien.

  • sensibilisering

1

Het niet afmelden van een medewerker op een externe computer waardoor deze persoon daar later nog aangemeld was

  • invoeren mfa

Er werden in totaal 19 gevallen rond gebruikers- en toegangsbeheer gemeld.

Gegevenslekken in verband met onderwijs

Kwaad opzet

Hacking
AantalSoort datalekGenomen en geplande maatregelen

1

Leerlingen wisten een wachtwoord van een leerkracht te achterhalen. Leerlingen hebben mogelijk inzage gehad in de administratieve gegevens en het leerlingvolgsysteem van andere leerlingen

  • sensibilisering

1

Een leerling van de school heeft zich toegang verschaft tot het Smartschoolaccount leerlingenvolgsysteem van de moeder van een andere leerling.

  • sensibilisering

1

Hacking van Smartschool accounts leerlingenvolgsysteem van leerkrachten

  • instellen 2FA

1

Oneigenlijk gebruik van gebruikerslogin van online platform waar gevoelige gegevens van minderjarige betrokkenen inkijkbaar zijn.

  • sensibilisering

1

Een leerkracht was vergeten zich af te melden waardoor leerlingen toegang kregen tot persoonsgegevens (leerlingen zien de kans om een spreekoefening van een leerling af te spelen en te filmen)

  • leerling gevraagd om alles te verwijderen van hun social media.
  • leerkrachten er nogmaals op attent maken om af te melden uit het leerlingenvolgsysteem
  • leerling is preventief geschorst
  • tijdens een personeelsvergadering Leerkrachten er nogmaals op attent maken om af te melden uit het leerlingenvolgsysteem
  • 2FA
  • een mogelijkse oplossing voor dit probleem is geen vaste toestellen meer in de klas maar leerkrachten een eigen laptop zodanig dat ze dit eigen toestel steeds meenemen. Maar als een leerkracht de klas verlaat zonder ook dat toestel af te sluiten krijg je nog steeds hetzelfde probleem.

Er werden in totaal 5 gevallen rond hacking gemeld.

Ransom
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond ransom gemeld.

Phishing
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond phishing gemeld.

Diefstal
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond diefstal gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie

AantalSoort datalekGenomen en geplande maatregelen

1

Verkeerde beveiliging van bepaalde artikelen/pagina’s met gegevens van personeel en leerlingen op de website die als intern communicatieplatform gebruikt werd

  • gebruik ander platform

Er werd in totaal 1 geval gemeld rond Ongewilde/onterechte publicatie.

Verkeerde bestemmeling/Teveel informatie

AantalSoort datalekGenomen en geplande maatregelen

3

Het versturen van (delicate) persoonsgegevens via leerlingenvolgsysteem naar alle leerlingen i.p.v. leerkrachten

  • het personeelslid zal meer aandacht besteden aan het versturen van mails naar de juiste personen.
  • sensibilisering
  • geen bijlagen met gevoelige gegevens versturen

1

Het versturen van (delicate) persoonsgegevens (via Smartschool) naar alle leerlingen i.p.v. naar één leerling

  • voorkomen dat bijlages met persoonsgegevens te verzenden via het berichtensysteem. Hiertoe zal enkel een verwijzing (hyperlink) naar het desbetreffende verslag zitten. Enkel personen met de juiste toegangsrechten zullen deze link kunnen openen.
  • opleiding van personen
  • herhalen van een aantal beleidsbeslissingen in de personeelsvergaderingen.

1

Het versturen van persoonsgegevens van leerlingen naar derden

  • sensibilisering

1

Het onrechtmatig zichtbaar zijn van gegevens voor alle studenten in een digitaal klasnotitieboek.

  • onmiddellijk de rechten intrekken
  • onmiddellijk data onbeschikbaar maken voor studenten

1

Ouders die naast de eigen rekening ook rekeningen van andere leerlingen kregen.

  • meer oplettendheid

1

Namen van alle accounts en co-accounts zijn zichtbaar voor alle leerlingen en ouders (co-accounts)

  • school sensibiliseert nogmaals alle leraren om goed op te letten.
  • alles moet in bcc, zeker mailings naar grotere groepen.
  • school vraagt aan leverancier leerlingvolgsysteem om het cc-vakje weg te halen, zodat niemand nog deze fout kan maken.

Er werden in totaal 8 gevallen gemeld in de categorie Verkeerde bestemmeling/Teveel informatie.

Niet kennen of toepassen regels

AantalSoort datalekGenomen en geplande maatregelen

1

Achter de rug van de directie om slaagt een ouder erin om van de secretariaatsmedewerker de volledige leerlingenfiche in handen te krijgen met alle gegevens op, gaande van levensbeschouwing tot zelfs de rekeningnummers van andere ouders.

  • secretariaatsmedewerker werd er in een fiche van vaststelling op gewezen dat deze mededeling een inbreuk op haar ambtsgeheim vormt

1

Bij het indienen van een klacht vraagt de klager expliciet om anoniem te blijven maar dit werd genegeerd.

  • sensibilisering

Er werden in totaal 2 gevallen gemeld rond het niet kennen of toepassen van regels.

Andere meldingen

Andere meldingen

AantalSoort datalekGenomen en geplande maatregelen

1

Gebruiken van een rijksregisternummer van een andere persoon om een formulier op te maken omdat de betrokkene geen geldig rijksregisternummer had.

  • sensibilisering

1

De overdracht van persoonsgegevens naar een instantie die de dossiers overneemt zonder toestemming van de betrokkenen.

  • evaluatie en reflectie voorzien om lessen te leren uit deze menselijke fout, en hoe deze in de toekomst te vermijden

1

Een advocaat voerde een foutief rijksregisternummer in een E-loket in. Deze fout werd niet opgemerkt door de behandelende ambtenaar en werd goedgekeurd. De foutieve informatie werd ter beschikking gesteld van de advocaat.

  • opleiding
  • sensibilisering

1

Nemen van een foto met privé-toestel, gebruik van privé-mail om deze door te sturen naar werk-mail

  • policy voor het gebruik van mobiele toestellen

1

Het gebruiken van een echt tuchtdossier als proef voor een sollicitatie waarbij de persoonsgegevens niet overal verwijderd waren

  • geen echte dossiers gebruiken

Er werden in totaal 5 andere meldingen geregistreerd.