Honderden bedrijven kwetsbaar en tientallen hacks
Ja het is zomer maar de vele actieve hackersgroepen hebben niet stilgezeten. Het blijkt dat er ernstige lek zat/zit in Exchange mailservers. Hackers hebben dit gebruikt om bedrijven plat te leggen en te chanteren. Deze vorm van criminaliteit komt in Nederland steeds vaker voor.
Grote bedrijven en instellingen zijn doelwit nummer 1 maar vaak worden ook MKB bedrijven de dupe van criminelen. Als ze een server hebben gehackt kunnen ze vaak bij meerdere bedrijven binnenkomen en daar schade aanrichten.
Onoplettendheid medewerkers zorgt voor voor datalek
Bij pensioenbeheerder Blue Sky zijn bij een datalek persoonsgegevens van KLM medewerkers gelekt. Het gaat onder meer om namen, polis- en bankrekeningnummers en pensioenbedragen. De criminelen kregen na een phishingaanval toegang tot de mailbox van Blue Sky Group.
Het lek is ontstaan nadat een medewerker per ongeluk op een extern bestand met virus had geklikt. Daardoor kregen de criminelen toegang tot een mailbox. Via die mailbox hebben zij toegang tot de persoonsgegevens van deelnemers gekregen. Meer details over het lek geeft de pensioenbeheerder niet. Het lek is gemeld bij de Autoriteit Persoonsgegevens en er is aangifte gedaan bij de politie.
Hoewel de beheerder zegt dat het lek gedicht is, waarschuwt het bedrijf er nog wel voor dat criminelen zich voor kunnen doen als Blue Sky Group of een van de pensioenfondsen die daar onder valt. Daarom heeft het bedrijf gevraagd om e-mailadressen te controleren en te checken op spelfouten en zegt nooit per e-mail of telefoon te vragen om wachtwoorden te wijzigen.
Datadiefstal GGD veel groter dan gemeld
Begin dit jaar heeft er bij de GGD een datalek plaatsgevonden. Uit onderzoek blijkt nu dat de datadiefstal veel meer mensen treft dan het aantal gedupeerden dat de organisatie publiekelijk meldt. Ook zijn burgers van wie gegevens zijn gestolen en mogelijk doorverkocht zijn niet door de GGD geïnformeerd. En dat moet wel!
Als je een datalek hebt moet je melden. En ook het melden aan de getroffenen. Zo weten ze wat er speelt. Dit zorgt trouwens voor enorme reputatieschade bij bedrijven en organisaties.
Volgens de GGD zijn de privégegevens van zo’n 1250 Nederlanders uit de coronasystemen onbevoegd ingezien, gestolen en mogelijk doorverkocht. Deze gedupeerden hebben van de GGD een excuusbrief ontvangen.
Het gaat om namen, adressen, telefoonnummers, geboortedata en Burgerservicenummers. Deze gegevens zijn heel interessant voor cybercriminelen. Zij kunnen de nietsvermoedende gedupeerden benaderen en proberen om ze geld af te troggelen. Maar ze kunnen zich ook bij bedrijven voordoen als de gedupeerden en zo diefstal plegen of ongewenste abonnementen afsluiten.
AP geeft duidelijkheid over zwarte lijsten
Veel ondernemers worden regelmatig geconfronteerd met criminaliteit. Hierbij valt te denken aan aan winkeldiefstal, vandalen die winkelruiten ingooien of bedreiging aan het adres van de eigenaar of het personeel. Vaak lijdt dit tot omzetverlies, materiële en immateriële schade. Maar de daders zijn vaak ook actief bij andere ondernemers in de omgeving of in andere sectoren. Daarom willen veel ondernemers een zwarte lijst opstellen met daarop alle beschikbare gegevens van de daders.
Alleen is het bijhouden van een zwarte lijst waarop mogelijke dieven, fraudeurs of onruststokers staan gebonden aan privacyregels. Het delen van de gegevens met een andere ondernemer of organisatie mag immers alleen gebeuren als de privacywetgeving goed is toegepast.
Als je een zwarte lijst met een andere sector wilt delen heb je te maken met een cross-sectorale zwarte lijst en daarvoor gelden nog strengere regels waarbij wordt uitgegaan van wat niet mag. Tenzij er wordt voldaan aan de zeer hoge eisen uit de Algemene verordening gegevensbescherming (AVG). Daarmee is het dus alleen in zeer uitzonderlijke gevallen toegestaan.
Om ondernemers duidelijkheid te geven, heeft de Autoriteit Persoonsgegevens (AP) een handreiking opgesteld voor cross-sectorale zwarte lijsten. In deze handreiking staat een beknopt overzicht opgesteld van de belangrijkste AVG-normen waaraan cross-sectorale zwarte lijsten minimaal moeten voldoen.
Mega boete Amazon voor schending privacy
Op 16 juli jl. heeft de Luxemburgse privacywaakhond CNPD Techgigant Amazon een boete van maar liefst 746 miljoen euro opgelegd. Reden voor deze hoge boete is dat Amazon zich niet aan de regels zou hebben gehouden bij het gebruik en verzamelen van gegevens van haar klanten. Amazon is in de EU gevestigd in Luxemburg en valt daarom onder de Luxemburgse privacywaakhond CNPD.
Volgens de CNPD heeft Amazon persoonlijke gegevens verwerkt op een manier die in strijd is met privacy-regulering GDPR. Amazon heeft al aangekondigd in beroep te gaan tegen het besluit van de toezichthouder. Volgens hen is er geen sprake geweest van een datalek en zijn er geen klantgegevens blootgesteld aan derden.