onvoldoend einformatiebeveiliging

Je wilt natuurlijk niet dat bedrijfsinformatie van en over je bedrijf en klanten op straat komt te liggen. Maar je loopt nog een ander risico. Boete door onvoldoende informatiebeveiliging.

Want bij persoonsgegevens is er ook nog eens een wettelijke plicht om die goed te beschermen. De AVG eist technische en organisatorische maatregelen om de gegevens te beschermen. Als je daar niet aan voldoet riskeer je een boete van de Autoriteit Persoonsgegevens (AP).

 

Boete voor onvoldoende informatiebeveiliging.

Welke boetes voor onvoldoende informatiebeveiliging heeft de AP in 2021 uitgedeeld?

Het vorige jaar heeft de AP in totaal 11 boetes uitgedeeld. In 4 gevallen waren die een uitvloeisel van het onvoldoende beveiligen van persoonsgegevens. Dat betekent dat bijna 40% van de boetes betrekking heeft op onvoldoende technische en organisatorische beveiligingsmaatregelen.

 

Welke organisaties ontvingen een boete en waarom?

In februari vorig jaar ontving het OLVG een boete van EURO 440.00 omdat de AP constateerde dat de medische dossiers onvoldoende beveiligd waren.

De AP constateerde 2 overtredingen. Ten eerste werd onvoldoende bijgehouden en gecontroleerd wie welk dossier raadpleegde. Het OLVG had wel een logging, maar die werd naar de mening van de AP onvoldoende gecontroleerd op onbevoegde toegang.

Boete voor onvoldoende informatiebeveiliging. Er was nog een tweede reden om deze boete op te leggen. Bij inloggen in de ziekenhuis omgeving gebruikte het OLVG geen MultiFactor-authentication (2 manieren om de identiteit vast te stellen bij een inlog). Alleen een wachtwoord was voldoende. Overigens werd die MF-authenticatie wel gehanteerd als buiten het ziekenhuis werd ingelogd.

Overigens ontving het Haga-Ziekenhuis al eerder een boete voor onder andere het ongeoorloofd inzien van patiëntendossiers door medewerkers.

Een orhodontiepraktijk ontving afgelopen juni een boete voor het onvoldoende beschermen van persoonsgegevens. Nieuwe patiënten konden zich inschrijven via een website. De AP oordeelde dat de website onvoldoende beveiligd was waardoor onbevoegde toegang konden krijgen tot persoonsgegevens onder meer het BSN.

De orthodontiepraktijk kon daarom EURO 12.000 aftikken bij de AP.

Ook het UWV ontkwam niet een boete van in dit geval EURO 450.000. De persoonlijke omgeving van de werkzoekenden, de zogenaamde “mijn werkmap” was de oorzaak. Het versturen van groepsberichten via deze applicatie was onvoldoende beveiligd. Hierdoor waren er verschillende datalekken, onder andere van medische gegevens. Het betrof de gegevens van ruim 15.000 mensen.

Boete voor onvoldoende informatiebeveiliging. Wie ontkwam er nog meer niet aan.

Transavia kreeg een boete van EURO 400.000 in verband hiermee. Wat was het geval? In 2019 drong een hacker de systemen van Transavia binnen. Dat gebeurde door 2 accounts van de IT-afdeling te gebruiken.

De beveiliging was naar de mening van de AP op 3 punten onvoldoende.

  • Het wachtwoord was makkelijk te raden
  • Er was geen MF-authenticatie, het wachtwoord was voldoende
  • Met controle over deze 2 accountants kon hij een groot aantal systemen van Transavia binnen dringen. De toegang was niet beperkt tot alleen noodzakelijke systemen

 

Ook in 2022 al een boete vanwege dit feit

Boete door onvoldoende informatiebeveiliging. Deze maand (april 2022) kreeg het ministerie van Buitenlandse Zaken. Een boete door onvoldoende informatiebeveiliging. Kosten: EURO 565.000. De oorzaak was dat het Nationaal Visum Informatie Systeem (NVIS) onvoldoende was beveiligd. Daardoor bestond de kans dat onbevoegde medewerkers onder andere persoonsgegevens zoals nationaliteit, foto, vingerafdrukken, naam in konden zien.

In haar besluit liet de AP mee wegen dat Buitenlandse Zaken al langere tijd op de hoogte was van de veiligheid risico’s van het systeem.

 

Wat kunnen we er van leren?

  • Onderneem direct actie als de persoonsgegevens in een systeem onvoldoende beveiligd zijn (Min BiZa)
  • Gebruik MF authenticatie (Transavia en OLVG)
  • Log het gebruik van dossiers waarin persoonsgegevens staan en analyseer die login regelmatig op ongeoorloofde toegang (OLVG en Haga)
  • Analyseer de gemelde datalekken op de oorzaak (UWV)

 

 

Gerelateerd