Nieuws
image

Datalek Rijnmonds Centrum voor Jeugd en Gezin door phishingaanval

zaterdag 13 juni 2020, 09:07 door Redactie, 9 reacties

Het Centrum voor Jeugd en Gezin (CJG) Rijnmond, dat onder andere jeugdzorg biedt, heeft huidige en voormalige cliënten gewaarschuwd voor een datalek dat ontstond doordat verschillende medewerkers in een phishingmail trapten. Via de phishingmail wist een aanvaller toegang te verkrijgen tot de e-mailboxen van enkele medewerkers.

Na ontdekking van de aanval werd er een onderzoek ingesteld, waaruit blijkt dat er mogelijk gegevens van een aantal huidige en voormalige cliënten zijn ingezien, waaronder BSN, naam en adresgegevens. Er zou geen toegang tot cliëntdossiers zijn geweest. Volgens CJG Rijnmond zijn er geen signalen waaruit blijkt dat het de aanvaller om deze persoonlijke informatie te doen was. "De onderzoekers achten de kans op misbruik dan ook erg klein", aldus het centrum.

CJG Rijnmond heeft alle betrokken per brief over het datalek geïnformeerd en melding bij de Autoriteit Persoonsgegevens gedaan. Tevens is het interne beleid voor veilig digitaal werken aangescherpt.

Reacties (9)
13-06-2020, 10:53 door karma4
Het zou beter zijn als enkel het BSN zijn de naam of adresgegevens was gelekt. Met een BSN kan je niet veel.
Je ken niet veel als de wettelijke regelingen rond gebruik BSN gevolgd zou worden, namelijk een deugelijke controle of BSN en de persoon die de aanvraag doet bij elkaar horen. Enkel een BSN gaan verwerken omdat het administratief kan is zeer fout.
Met een naam en adres ben je pas echt kwetsbaar
13-06-2020, 11:22 door Anoniem
BSN per onversleutelde e-mail, tja, what could go wrong :).
13-06-2020, 12:14 door Anoniem
Symantec heeft een antispam oplossing die ook in staat is om in een binnenkomende of uitgaande mail BSN's te herkennen en daar over te bitchen.
kost iets van een euro per poppetje per maand.

mailtje naar de Sec Off, versturende medewerker weer eens verplicht een saaie langdurige cursus professioneel werken aan de broek.
13-06-2020, 13:15 door karma4 - Bijgewerkt: 13-06-2020, 13:16
Door Anoniem: BSN per onversleutelde e-mail, tja, what could go wrong :).
Niets als de wet gebruik bsn gevolgd zou worden. Alleen de juiste correcte persoon kan de administratieve handeling starten. Een bsn is als nietszeggende primary key in de verwerking bedoeld, niet voor het bewijs dat je die persoon bent.
13-06-2020, 15:22 door Anoniem
"toegang tot e-mailboxen van enkele medewerkers" Tuurlijk. Men kon geen cliëntdosser inzien. Nee, maar wel alle correspondentie van afgelopen jaar en verder terug gok ik. Neeeuuh, dan weet je niks over de medische achtergrond van degene die over de mail is besproken. Dit is gewoon rechtpraten wat krom is...
14-06-2020, 14:58 door Anoniem
Door Anoniem: Symantec heeft een antispam oplossing die ook in staat is om in een binnenkomende of uitgaande mail BSN's te herkennen en daar over te bitchen.
kost iets van een euro per poppetje per maand.

mailtje naar de Sec Off, versturende medewerker weer eens verplicht een saaie langdurige cursus professioneel werken aan de broek.
Een beetje DLP oplossing heeft dit in zich. Niet alleen per mail, maar ook bescherming van USB, printen van bestanden en beschermen van bestanden in verschillende cloud diensten (Office365, dropbox etc) moet een fatsoenlijke DLP oplossing wel kunnen.
15-06-2020, 14:03 door Bitje-scheef
Door Anoniem: "toegang tot e-mailboxen van enkele medewerkers" Tuurlijk. Men kon geen cliëntdosser inzien. Nee, maar wel alle correspondentie van afgelopen jaar en verder terug gok ik. Neeeuuh, dan weet je niks over de medische achtergrond van degene die over de mail is besproken. Dit is gewoon rechtpraten wat krom is...

Grote delen van het dossier gaan gewoon per email rond. Dus als je toegang hebt tot de emailboxen en een beetje tijd.
Tada een compleet dossier, alleen dan aan elkaar geplakt.
15-06-2020, 15:10 door Anoniem
Zullen we, ter voorkoming van...., afspreken dat organisaties die deze gevoelige gegevens verwerken verplicht worden om e-mail te beveiligen met 2-factor authenticatie?
16-06-2020, 08:39 door Bitje-scheef
Door Anoniem: Zullen we, ter voorkoming van...., afspreken dat organisaties die deze gevoelige gegevens verwerken verplicht worden om e-mail te beveiligen met 2-factor authenticatie?

Dit is in de zorg niet genoeg. Je moet ook voorkomen dat medewerkers niet bij gegevens kunnen die ze niet nodig hebben voor hun taak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search