Nieuws
image

UWV meldde 600 datalekken aan Autoriteit Persoonsgegevens in 2019

woensdag 27 mei 2020, 10:13 door Redactie, 12 reacties

Het UWV heeft vorig jaar meer dan 600 datalekken aan de Autoriteit Persoonsgegevens gemeld. Een jaar eerder waren het er nog 342. Dat laat de instantie in het jaarverslag over 2019 weten. Vorig jaar ontving het UWV 1657 signalen over datalekken. Van deze datalekken waren er 606 "meldenswaardig" en werden aan de Autoriteit Persoonsgegevens gerapporteerd.

De stijging van het aantal gemelde datalekken is volgens het UWV te verklaren door het toegenomen bewustzijn onder medewerkers. Die herkennen meer incidenten als een datalek. Daarnaast wordt geopende retourpost sinds 2019 beter onderschept en wanneer nodig als datalek bij de toezichthouder gemeld. Ruim de helft van de 606 gemelde datalekken vorig jaar ging over geopende retourpost.

"Deze meldingen hebben meestal maar op één persoon betrekking, maar de ernst kan wisselend zijn, variërend van een verkeerd bezorgde neutrale uitnodiging tot een verkeerd bijgevoegd medisch rapport", aldus het UWV. De overige meldingen zijn datalekken met uiteenlopende oorzaken en hebben meestal betrekking op meerdere personen. Om bij impactvolle datalekken snel te kunnen schakelen heeft het UWV een calamiteitenplan opgesteld dat inmiddels in gebruik zou moeten zijn genomen, zo staat in het jaarverslag vermeld.

Vorig jaar kreeg de instantie met twee grote datalekken te maken. Bij het eerste datalek werden via het account van een werkgever op Werk.nl 117.000 unieke cv's gedownload. Daarop zijn alle gedupeerden en de AP ingelicht en het betreffende account geblokkeerd. Tevens zijn alle wachtwoorden van werkgevers gereset en oude accounts opgeschoond. Ook zijn de processen rond de monitoring verbeterd.

Bij het tweede grote datalek had een UWV-medewerker bij een uitnodigingsmail een bijlage toegevoegd met persoonsgegevens van 586 klanten. De mail werd naar 99 klanten gestuurd. Volgens het UWV heeft de betreffende medewerker de geldende richtlijnen niet gevolgd. Het is namelijk niet toegestaan om direct via e-mail met klanten te communiceren. Klanten die de bijlage ontvingen is gevraagd die te verwijderen. Naar aanleiding van het datalek op Werk.nl ontving het UWV zelf zo'n 150 klachten.

Onderzoek Autoriteit Persoonsgegevens

Verder valt in het jaarverslag te lezen dat erop dit moment nog twee grotere onderzoeken van de Autoriteit Persoonsgegevens naar datalekken lopen. Het eerste onderzoek gaat over datalekken van de divisie WERKbedrijf. Het tweede onderzoek gaat over de wijze van registratie en het melden van datalekken. Naast de twee grote onderzoeken is de toezichthouder ook met verschillende kleine onderzoeken bezig, onder andere naar aanleiding van klachten die het ontving.

Reacties (12)
27-05-2020, 10:32 door karma4
De grote commercielen waar het met de GDPR om te doen was moet krom liggen van het lachen.
Een wet die bedoeld om hun ongebreidelde macht in te perken wordt gebruikt om intern bij de overheid meer mensen bezig te houden met vermoedelijk geen resultaat omdat de genoemde taken door de politiek besloten zijn zonder benul of het praktische uitvoerbaar is.
27-05-2020, 10:41 door Anoniem
Tja, ergens is het wel lachwekkend... Maar

De stijging van het aantal gemelde datalekken is volgens het UWV te verklaren door het toegenomen bewustzijn onder medewerkers. Die herkennen meer incidenten als een datalek. Daarnaast wordt geopende retourpost sinds 2019 beter onderschept en wanneer nodig als datalek bij de toezichthouder gemeld. Ruim de helft van de 606 gemelde datalekken vorig jaar ging over geopende retourpost.
Maar handelen ze er ook naar? Niet dus... wat hebben we er dan aan! Hoe lang mag dit nog door gaan. Dit zijn er bijna 3 lekken per dag! Lijkt wel een gewoonte.

En zoals ik verwacht had, die AVG is leuk, maar zolang het een papieren tijger is, zal niemand er wat van aan trekken. Wanneer komen er boetes... En misschien moeten er wel personen hoofdelijk verantwoordelijk worden voor deze fouten.

Dit gaat nog jaren zo door, en net zo als de cookiewet, zal ie nooit werken zoals bedoelt, en heb je er gewoon niets aan.
Jammer

TheYOSH
27-05-2020, 11:05 door Anoniem
Nouja als je zoveel post verstuurt als UWV waarschijnlijk doet dan is 300 retour gekomen stukken helemaal niks.
En als je iedere brief waarin als persoonsinformatie te kenmerken zaken stonden (en dat is natuurlijk heel vaak het geval bij brieven zoals UWV stuurt) dan is het niet raar dat er dit aantal datalekken is.

Het is natuurlijk interessant om te bekijken waarom die post retour komt. Maar als iemand verhuist waar je maandelijks een brief heen stuurt dan vind ik het niet raar als er eens een keer een brief naar een oud adres gaat voordat die adreswijziging verwerkt is, als die al ingediend is.
27-05-2020, 11:05 door karma4 - Bijgewerkt: 27-05-2020, 11:06
Door Anoniem:
Ruim de helft van de 606 gemelde datalekken vorig jaar ging over geopende retourpost.
Maar handelen ze er ook naar? Niet dus... wat hebben we er dan aan! Hoe lang mag dit nog door gaan. Dit zijn er bijna 3 lekken per dag! Lijkt wel een gewoonte.
TheYOSH
Verkeerde data inde systemen en je hebt een foute adressering. Een datalek waar het AP zich dan druk over kan gaan maken.Als we nu eens naar beter betrouwbare data zouden gaan kijken. Meer naar koppeling bronsystemen met een BSN ……. Het BRP (mislukt) het is nog steeds mGBA is gebaseerd op het BSN.
27-05-2020, 11:41 door Anoniem
Door karma4: De grote commercielen waar het met de GDPR om te doen was moet krom liggen van het lachen.
Een wet die bedoeld om hun ongebreidelde macht in te perken wordt gebruikt om intern bij de overheid meer mensen bezig te houden met vermoedelijk geen resultaat omdat de genoemde taken door de politiek besloten zijn zonder benul of het praktische uitvoerbaar is.

waanzin:

https://www.security.nl/posting/658568/Massaclaim+om+datalek+kan+easyJet+miljarden+euro%27s+kosten
27-05-2020, 12:27 door Anoniem
De onschendbare ambtenaren.
27-05-2020, 12:29 door Anoniem
Dat het aantal meldingen is gestegen, komt doordat er dankzij het toegenomen bewustzijn onder medewerkers meer incidenten worden herkend als een inbreuk. Daarnaast onderscheppen we sinds 2019 geopende retourpost beter en melden deze zo nodig als datalek aan de AP.

Oftewel, veel data-lekken werden minimaal 2 jaar achter elkaar niet binnen het UWV zelf uitputtend herkend.
Het UWV meldt voor 2019 vervolgens 2 wc-eendjes.
1) Medewerkers onderscheppen retourpost beter
2) herkennen datalekken,
Is het herkennen datalekken voor een lerende & continu verbeterende organisatie als het UWV concreet veranderd?
Heeft het UWV het nou over beter of juist meer herkennen van datalekken?

Ik ben dus wel benieuwd hoe het UWV haar relatieve schaal "beter", "meer" en dergelijke tussenstappen in privacy op orde hebben heeft gedefinieerd en onderverdeeld.
En hoever is het UWV gevorderd met het volledig op orde hebben (=geborgd hebben) van privacy?

Het aantal gemelde datalekken stijgt nog steeds.
Deze quote komt uit het UWV jaarverslag 2018.
Hierin meldt het UWV dat ze nogal wat technische automatisering maatregelen hebben getroffen.

Sinds half december 2018 is het niet meer mogelijk om bijvoorbeeld Excelbestanden met uit systemen geëxporteerde gegevensbestanden bij Werkmapberichten te voegen. Verder maken we het onmogelijk om bepaalde gedigitaliseerde stukken nog te printen
Het accent lijkt hierbij gericht op vermijden/afvangen dat medewerkers per ongeluk in de mist gaan.
Toch meldde het UWV in 2018 alvast dat het aantal meldingen van data-lekken jaarlijks volgens haar zal toenemen.
Is dat omdat bepaalde maatregelen de reeds gekende oorzaken voor data-lekken niet volledig afdichten?
Of is dat omdat het UWV allerlei aanleidingen die tot datalekken kunnen leiden nog niet (her)kent?
Wisten ze dat ze nieuwe werkwijzen gingen introduceren die risico-voller zijn?

Verwachten ze bij het UWV voor de periode vanaf februari/maart 2020 meer datalekken c.q. andere oorzaken?
27-05-2020, 14:10 door karma4
Door Anoniem: waanzin: https://www.security.nl/posting/658568/Massaclaim+om+datalek+kan+easyJet+miljarden+euro%27s+kosten
Dat is waanzin om de GDPR als verdienmodel voor advocaten te gaan zien. Dat klopt.

Waar ik het over had is:
https://www.complianceweek.com/data-privacy/tech-firm-gdpr-in-danger-of-failing-due-to-lack-of-resources/28836.article
Voor het AP is dat er van 60 naar 170 FTE gegaan is. Maar 4 fte voor techniek, de rest moet juridisch en management zijn.
De GDPR is nauwelijks anders dan de voorgaande wetgeving, het is alleen mee specifiek rond handhaving (boetes) en recht op inzage (gratis mits niet dispropotioneels). Een verdrievoudiging en minder resultaat dan voorheen.

Het is inderdaad waanzin dat ineens alles wat een ander zou kunnen zien bij voorbaat een privacyinbreuk is en gemeld moet worden omdat je niet kan weten wat heel misschien niet goed zou kunnen zijn. Met die insteek kom je tot niets.
Een politieagent gaat echt niet zo te werk op mits en mogelijk en het zou kunnen zijn dat.... om daarmee naar het OM te gaan.
27-05-2020, 17:35 door Anoniem
Door karma4:
Door Anoniem: waanzin: https://www.security.nl/posting/658568/Massaclaim+om+datalek+kan+easyJet+miljarden+euro%27s+kosten
Dat is waanzin om de GDPR als verdienmodel voor advocaten te gaan zien. Dat klopt.

Waar ik het over had is:
https://www.complianceweek.com/data-privacy/tech-firm-gdpr-in-danger-of-failing-due-to-lack-of-resources/28836.article
Voor het AP is dat er van 60 naar 170 FTE gegaan is. Maar 4 fte voor techniek, de rest moet juridisch en management zijn.
De GDPR is nauwelijks anders dan de voorgaande wetgeving, het is alleen mee specifiek rond handhaving (boetes) en recht op inzage (gratis mits niet dispropotioneels). Een verdrievoudiging en minder resultaat dan voorheen.

Het is inderdaad waanzin dat ineens alles wat een ander zou kunnen zien bij voorbaat een privacyinbreuk is en gemeld moet worden omdat je niet kan weten wat heel misschien niet goed zou kunnen zijn. Met die insteek kom je tot niets.
Een politieagent gaat echt niet zo te werk op mits en mogelijk en het zou kunnen zijn dat.... om daarmee naar het OM te gaan.

onzin. er zijn genoeg voorbeelden geweest die duidelijk aantonen dat als dit soort regels niet gehandhaafd worden er commericele partijen zijn die het niet nauw nemen met andermans data. je argument heeft pas waarde als die dingen niet meer gebeuren. tot die tijd is het bittere noodzaak en betaal ik maar al te graag belastinggeld voor meer handhaving en controle hierop!
28-05-2020, 08:44 door karma4
Door Anoniem: onzin. er zijn genoeg voorbeelden geweest die duidelijk aantonen dat als dit soort regels niet gehandhaafd worden er commericele partijen zijn die het niet nauw nemen met andermans data. je argument heeft pas waarde als die dingen niet meer gebeuren. tot die tijd is het bittere noodzaak en betaal ik maar al te graag belastinggeld voor meer handhaving en controle hierop!
https://noyb.eu/en/open-letter Het AP is als overheid heel druk met het bestrijden van de overheid, genoeg voorbeelden . Die open brief toon het gebrek aan het handhaven richting de commercie. Je kunt daarvoor de trackers en cookies op alle websites ook bij nemen. Het gebrek aan optreden tegen falende IOT beveiliging. Ze zijn bij het AP een geld verbrandende afleidende instantie geworden, niet iets om wat van privacy te verwachten .
28-05-2020, 10:54 door Anoniem
Door karma4:
Door Anoniem: onzin. er zijn genoeg voorbeelden geweest die duidelijk aantonen dat als dit soort regels niet gehandhaafd worden er commericele partijen zijn die het niet nauw nemen met andermans data. je argument heeft pas waarde als die dingen niet meer gebeuren. tot die tijd is het bittere noodzaak en betaal ik maar al te graag belastinggeld voor meer handhaving en controle hierop!
https://noyb.eu/en/open-letter Het AP is als overheid heel druk met het bestrijden van de overheid, genoeg voorbeelden . Die open brief toon het gebrek aan het handhaven richting de commercie. Je kunt daarvoor de trackers en cookies op alle websites ook bij nemen. Het gebrek aan optreden tegen falende IOT beveiliging. Ze zijn bij het AP een geld verbrandende afleidende instantie geworden, niet iets om wat van privacy te verwachten .

en jouw antwoord is dan maar niets meer te doen en commerciele partijen hun goddelijke gang te laten gaan? never!
29-05-2020, 11:59 door Anoniem
Door Anoniem: Maar handelen ze er ook naar? Niet dus... wat hebben we er dan aan! Hoe lang mag dit nog door gaan. Dit zijn er bijna 3 lekken per dag! Lijkt wel een gewoonte.
Ernaar handelen kan alleen als ze zich ervan bewust zijn. Zich ervan bewust worden gaat onvermijdelijk samen met fouten herkennen als ze gemaakt zijn en daarvan leren dat men dat voor moet zijn. Mensen en organisaties leren door vallen en opstaan. Meer gemaakte fouten herkennen leidt tot meer gemaakte fouten rapporteren, juist bij een organisatie die het serieus aan het nemen is.

Dat het veel is geeft aan dat de uitgangssituatie bedroevend is en dit is geen garantie dat het allemaal goed zal komen. Maar dit is wel precies het patroon dat ik zou verwachten te zien bij een organisatie waar het slecht ging en die zich aan het verbeteren is. Dus ja, hier hebben we wat aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search