Datalek nieuws en overzicht week 49-2021

Gepubliceerd op 12 december 2021 om 16:46
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Volvo Cars bevestigt uitlekken bedrijfsinformatie bij digitale inbraak

Volvo Cars is slachtoffer van een datalek geworden, meldt de autofabrikant. Onbekenden hebben zich toegang verschaft tot een locatie waar data over research en ontwikkeling (R&D) zijn opgeslagen. Volgens Volvo is bij de inbraak een beperkte hoeveelheid van de R&D-informatie van de onderneming gestolen. Er zouden geen klantgegevens zijn buitgemaakt. Wel kan het incident impact hebben op de werking van de onderneming, waarschuwt de autofabrikant. Nadat de inbraak was ontdekt, zijn er direct maatregelen genomen om verder uitlekken van data te voorkomen. Ook zijn de autoriteiten over het lek geïnformeerd. Het is niet bekend wanneer het datalek precies heeft plaatsgevonden. Op het darkweb worden sinds eind november wel al data van Volvo te koop aangeboden door de hackergroep Snatch, schrijft The Record. Volvo Cars voert samen met een externe specialist onderzoek uit om de datadiefstal nauwkeuriger te onderzoeken. Vooralsnog gaat het bedrijf ervan uit dat het datalek geen directe gevolgen heeft voor de veiligheid of beveiliging van de auto's.


Datalek bij gemeente; gegevens 356 inwoners vallen op verkeerde matten

Een wat onzorgvuldige gang van zaken lijkt de oorzaak te zijn van een datalek bij de gemeente Ommen eind vorige maand. Het ging mis met een op 18 november verzonden brief over de collectieve zorgverzekering. De fout werd door een ontvanger van die brief opgemerkt. Diegene belde daar op 19 november over met het Klanten Contact Centrum van de gemeente, en maakte daar een dag later formeel melding van. In de envelop met de bewuste brief zat een deelnameformulier bijgevoegd. Deze was voor een deel al ingevuld. “Als een vorm van service”, aldus burgemeester Hans Vroomen. Per abuis zijn in de enveloppen de gepersonaliseerde deelnameformulieren van willekeurige ontvangers toegevoegd; en zijn de persoonlijke gegevens van inwoners bij andere inwoners terecht gekomen. “Een hele vervelende situatie die is ontstaan”, merkt de burgemeester op. “Dit betreuren wij zeer.” De oorzaak is een stukje onzorgvuldigheid. “De medewerker van het bedrijf die de druk en de verzending verzorgd, heeft zich onvoldoende gerealiseerd dat de bijlagen gepersonaliseerd zijn”, verklaard Vroomen. Maar de gemeente trekt zelf ook het boetekleed aan. “Bij de opdrachtverstrekking van de zijde van de gemeente is er ook niet expliciet op gewezen. Het is gewoon een hele vervelende gang van zaken die heeft plaatsgevonden.”


25.000 mensen aangemeld voor schadeclaim GGD-datalek

Ongeveer 25.000 mensen hebben zich aangesloten bij een collectieve schadeclaim om een grote dataroof uit de computersystemen van de GGD'en. Mensen kunnen zich sinds maandag aanmelden voor de actie tegen het ministerie van Volksgezondheid. De schadeclaim is een initiatief van stichting ICAM. Die wil 1500 euro schadevergoeding voor mensen van wie zeker is dat hun gegevens zijn gestolen, en 500 euro voor mensen van wie de gegevens in de GGD-systemen stonden 'en dus gestolen konden worden'. Mensen die willen meedoen, kunnen zich gratis melden op de site datalek-ggd.nl. De kosten van het proces worden voorgeschoten door het bedrijf Liesker Procesfinanciering uit Breda. Als de schadeclaim wordt toegewezen, krijgt het bedrijf 20 procent van de vergoeding, tot maximaal vijf keer het voorgeschoten bedrag. Medewerkers van GGD-callcenters haalden de gegevens van mensen die zich lieten testen op een coronabesmetting uit de computersystemen. Die informatie werd vervolgens te koop aangeboden op ondergrondse onlinemarktplaatsen, ontdekte RTL Nieuws. Op zulke sites wordt veel geld betaald voor privégegevens van mensen, omdat cybercriminelen zulke informatie kunnen gebruiken om mensen op te lichten. De claim is gericht tegen het ministerie 'omdat dat verantwoordelijk is voor het ontwerp van de IT-systemen die de GGD'en gebruiken', aldus de initiatiefnemers.


Kans op 'persoonlijke' boete na een datalek neemt komende jaren toe

In de nabije toekomst gaat het gebeuren dat bestuurders hoofdelijk aansprakelijk worden gesteld voor datalekken. Die voorspelling deed een Gartner-onderzoeker onlangs bij het kennisevenement Cyber Security voor industriële controlesystemen. Hoe realistisch is het scenario Volgens Wam Voster, senior director bij Gartner Research, kunnen datalekken in de toekomst zelfs forse gevangenisstraffen gaan opleveren. In 2025 zou het al zo ver zijn, luidt zijn voorspelling op het evenement. Een directeur werd in Frankrijk al eens persoonlijk beboet na een datalek, zo vertelde Voster. In België werd al eens een burgemeester aansprakelijk gesteld omdat hij e-mailadressen van burgers gebruikte in een campagne. Dimmen Smolders, juridisch adviseur bij ICTRecht, ziet hoofdelijke aansprakelijkheid bij een datalek nog niet veel voorbij komen. In de privacywetgeving AVG is het hoofdelijk aansprakelijk stellen van bestuurders of directieleden voor een datalek bij een organisatie volgens hem niet mogelijk. Wel kan de verwerkingsverantwoordelijke aansprakelijk gesteld worden. "Maar dat is in het algemeen een bedrijf, organisatie of instelling. Bij de zaak in België is het toevallig de burgemeester zelf die verwerkingsverantwoordelijk is. Dat is weliswaar een persoon, maar hij werd niet als privépersoon aansprakelijk gesteld.” Smolders kan zich wel vinden in de voorspelling van Gartner omdat ook hij ziet dat de Autoriteit Persoonsgegevens steeds meer boetes uitdeelt in Nederland. “In andere landen in Europa wordt al veel meer actief beboet met kleine bedragen. In Nederland ligt de focus vooral op grote publiciteitsgevoelige zaken, terwijl kleine overtredingen meestal onbestraft blijven.” Wanneer een organisatie een boete krijgt, kan deze op zijn beurt een bestuurder aansprakelijk stellen. “Een forse boete kan rauw op het dak vallen van een overheidsorganisatie of een bedrijf. Een bestuurder die verantwoordelijk is voor de situatie kan vanuit de organisatie zelf een boete opgelegd krijgen voor wanbestuur. Daar zijn zeker juridische mogelijkheden voor”, aldus Smolders. De voorspelling die Gartner doet, snijdt mede daarom wel hout, denkt Smolders. “Wanneer een organisatie beboet wordt en er is echt sprake van wanbestuur geweest bij een verantwoordelijke, dan wordt er zeker nagedacht over een schadeclaim.” De kans op meer ‘persoonlijke boetes’ neemt op die manier dus toe, denkt Smolders. “De theoretische mogelijkheid om boetes via de eigen organisatie op te leggen is er. En het is inderdaad zo dat er in Nederland steeds meer boetes voor datalekken volgen, dus dan neemt die kans ook toe.”  


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken