Roemeens drinkwaterbedrijf krijgt boete voor datalek door To-veld in e-mail
Een Roemeens drinkwaterbedrijf heeft van de Roemeense privacytoezichthouder een AVG-boete van drieduizend euro gekregen omdat er bij het versturen van een e-mail geen gebruik was gemaakt van de BCC-optie, maar het To-veld. Daardoor waren de gebruikte e-mailadressen voor alle ontvangers zichtbaar. Het drinkwaterbedrijf waarschuwde de Roemeense privacytoezichthouder ANSPDCP, dat een onderzoek instelde.
Volgens de databeschermingsautoriteit bleek dat het datalek zich had voorgedaan door een menselijke fout, waarbij een medewerker van het drinkwaterbedrijf het To-veld in plaats van BCC had gebruikt. Hoeveel klanten slachtoffer van het datalek werden laat de ANSPDCP niet weten, maar de toezichthouder spreekt van een "aanzienlijk aantal personen".
Het onderzoek liet ook zien dat het drinkwaterbedrijf geen adequate technische en organisatorische maatregelen had genomen om voor een beveiligingsniveau te zorgen dat overeenkomt met het verwerkingsrisico. Daarmee heeft de onderneming verschillende leden van artikel 32 van de AVG overtreden, aldus de Privacytoezichthouder, die een boete van drieduizend euro passend vond.
Vertrouw jij emails waar jij in de bcc staat, als ze niet direct van een collega komen die jouw even “ter info” meeneemt?
De boete zal wel weer een schijntje zijn - zoals gebruikelijk een factor 10 tot 100 te laag. Daarmee blijft het een kosten afweging: het een keer fatsoenlijk organiseren of zo nu en dan een schijntje betalen. Dat laatste is het minste werk, dus dat blijft het.
Volgens de website van de Roemeense beschermingsautoriteit bedraagt de boete ongeveer 3000 euro (14.757 Roemeense lei). Of dat veel is voor een Apa Canal Ilfov SA, een organisatie met 500+ medewerkers (cijfers van 2021), dat laat ik in het midden.
Wat is dan het verschil tussen "Blind send" en BCC (met de B van Blind) ...?
Je bedoelde CC maar schreef BCC ..?
De boete zal wel weer een schijntje zijn - zoals gebruikelijk een factor 10 tot 100 te laag. Daarmee blijft het een kosten afweging: het een keer fatsoenlijk organiseren of zo nu en dan een schijntje betalen. Dat laatste is het minste werk, dus dat blijft het.
En wat doet "blind send" precies anders? Is het een aparte send-knop die alle adressen uit de e-mailheaders sloopt of zo? Waarom is dat superieur? In beide gevallen moet je iets doen om de adressen niet zichtbaar te maken voor de ontvanger. Bij Bcc zie je in de kopie van de e-mail die je zelf bewaart terug aan welke adressen die is gestuurd en hoe precies. Zie je in de met "blind send" verstuurde e-mail dat ook terug?
En over welke e-mailclient heb je het eigenlijk?
3.6. Field definitions
The destination fields of a message consist of three possible fields,
each of the same form: The field name, which is either "To", "Cc", or
"Bcc", followed by a comma-separated list of one or more addresses
(either mailbox or group syntax).
to = "To:" address-list CRLF
cc = "Cc:" address-list CRLF
bcc = "Bcc:" (address-list / [CFWS]) CRLF
The destination fields specify the recipients of the message. Each
destination field may have one or more addresses, and each of the
addresses indicate the intended recipients of the message. The only
difference between the three fields is how each is used.
The "To:" field contains the address(es) of the primary recipient(s)
of the message.
The "Cc:" field (where the "Cc" means "Carbon Copy" in the sense of
making a copy on a typewriter using carbon paper) contains the
addresses of others who are to receive the message, though the
content of the message may not be directed at them.
The "Bcc:" field (where the "Bcc" means "Blind Carbon Copy") contains
addresses of recipients of the message whose addresses are not to be
revealed to other recipients of the message. There are three ways in
which the "Bcc:" field is used. In the first case, when a message
containing a "Bcc:" field is prepared to be sent, the "Bcc:" line is
removed even though all of the recipients (including those specified
in the "Bcc:" field) are sent a copy of the message. In the second
case, recipients specified in the "To:" and "Cc:" lines each are sent
a copy of the message with the "Bcc:" line removed as above, but the
recipients on the "Bcc:" line get a separate copy of the message
containing a "Bcc:" line. (When there are multiple recipient
addresses in the "Bcc:" field, some implementations actually send a
separate copy of the message to each recipient with a "Bcc:"
containing only the address of that particular recipient.) Finally,
since a "Bcc:" field may contain no addresses, a "Bcc:" field can be
sent without any addresses indicating to the recipients that blind
copies were sent to someone. Which method to use with "Bcc:" fields
is implementation dependent, but refer to the "Security
Considerations" section of this document for a discussion of each.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.