Ook in het eerste kwartaal van 2020 waren ze er weer: spraakmakende datalekken. De meest in het oogspringende zet ik hier voor je op een rijtje. Daarbij komt de overheid met een datalek bij het RIVM en bij een uitvoeringsorganisatie van het Ministerie van Volksgezondheid twee keer voor. Maar ook commerciële partijen lekte nogal eens persoonsgegevens. De datalekken waren zowel digitaal als fysiek van aard.
Lekken bij Easyjet en Tadaah
Door een onbeveiligde, publiek toegankelijke server bij een dienstverlener in de zorg, Tadaah waren ID bewijzen, VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s van enkele honderden mensen in te zien. RTL Nieuws ontdekte na onderzoek het lek in het platform en heeft dit bij Tadaah gemeld. Spraakmakende datalekken, daar bestaat geen twijfel over.
De Britse luchtvaartmaatschappij EasyJet werd niet alleen getroffen door corona maar door een zoals ze zelf zeggen “zeer gevanceerde cyberaanval”. Daarbij werden e-mailadressen en reisplannen van negen miljoen klanten gestolen. Daarnaast wisten de daders de creditcardgegevens van 2.208 klanten in handen te krijgen. heeft de database uit de lucht gehaald.
In het rijtje spraakmakende datalek past zonder meer ook het lek bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM),. De Infectieradar waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Ook dit kwam aan het licht door journalistiek onderzoek, dit maal van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters.
Maar niet alleen journalisten brengen nogal eens een datalek aan het licht. Internetbeveiligingsbedrijf ShadowMap ontdekte dat gegevens en wachtwoorden van tweehonderd leden van het Europees Parlement, de Europese Raad en de Europese Commissie toegankelijk waren voor onbevoegden. Ook zouden duizend werknemers van het Europees Parlement zijn getroffen. Daarnaast was informatie van in totaal meer dan vijftienduizend anderen te vinden. Het zou gaan om informatie van EU-instellingen, leden van politieke partijen en journalisten. Onder meer het Europese patentbureau EUIPO, de Europese toezichthouder voor gegevensbescherming (EDPS) en politieorganisatie Europol zouden zijn getroffen.
Ook fysieke datalekken gemeld
Maar niet alleen de beveiliging van It systemen leidde tot het lekken van persoonsgegevens, ook fysiek gingen data verloren.
Uit het Universitair Medisch Centrum Utrecht zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen.
Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen. Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.
Nog meer spraakmakende datalekken? Het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid, ontdekte dat twee externe harde schijven niet meer in de daarvoor bestemde kluis lagen. Op deze harde schijven staat een back-up van 6,9 miljoen donorformulieren van de periode februari 1998 tot juni 2010.
Nu blijkt dat op deze formulieren de voor- en achternaam, het geslacht, de geboortedatum, de adresgegevens, de donorkeuze, de handtekening en het burgerservicenummer van unieke personen stonden. Het aantal gedupeerden is kleiner dan het aantal gelekte formulieren, omdat mensen hun donorregistratie kunnen wijzigen.
Nederland nummer 1 in aantal gemelde datalekken
Uit een onderzoek van DLA Piper blijkt dat Nederland in de periode Mei 2018 tot 27 januari 2020 koploper is in het aantal gemelde datalekken (40.647). Duitsland en de U.K. komen met respectievelijk 37.636 en 22.181 gemelde datalekken op plaats 2 en 3.
Dit wil niet zeggen dat in deze landen meer datalekken plaatsvinden, het betreft hier het aantal gemelde incidenten bij de toezichthouders. Het kan dus heel goed dat in de landen die niet in de top 3 staan even veel of meer datalekken plaats vinden maar dat deze niet gemeld worden.
Maar, wat ik met deze cijfers maar wil zeggen: het is als organisatie niet nodig je te schamen voor een datalek: je bent zeker de enige niet. En hoe goed je maatregelen ook zijn, een datalek is niet altijd te voorkomen.
Het is wel van belang om te weten wanneer er sprake is van een datalek en welke actie je vervolgens moet ondernemen.
Lees daar meer over in onze whitepaper “Datalekken“.