logo VTC

Vlaamse Toezichtcommissie
voor de verwerking van persoonsgegevens

Logo Vlaamse leeuw

 

Overzicht gegevenslekken reeds gemeld aan de VTC

Overzicht van de meldingen van inbreuken/gegevenslekken die aan de Vlaamse Toezichtcommissie werden gedaan sinds juni 2018.
Alle meldingen betroffen persoonsgegevens (een enkele case na onderzoek toch niet). Sommige meldingen hadden betrekking op medische gegevens. Het betrof ook het rijksregisternummer en de raadpleging van andere Rijksregistergegevens.

De vermelding van de incidenten en maatregelen houdt voor geen van beide een beoordeling in van de VTC, maar is bedoeld als bewustmaking en stap om tot best practices en richtlijnen te komen.

Stand van zaken op 6/11/2018. De meldingen hadden overwegend betrekking op onderwijsinstellingen.

GEGEVENSLEK

AANTAL MELDINGEN

MAATREGELEN GENOMEN DOOR DE MELDENDE INSTANTIES

postpakket beschadigd

2
- klacht bij Bpost om te recupereren
- persoonlijk overhandigen
- zoveel mogelijk digitaal

 

Diefstal PC en GSM

1
- de wachtwoorden voor de accounts (Ticketgang, e-mail) werden gewijzigd
- richtlijnen inbraakpreventie
- sensibilisering

 

ransomware

1
- verwerker heeft diverse maatregelen genomen waaronder contact met het CERT (Computer Security Incident Response Team) *zie hier

 

leerlingenvolgsysteem uittreksel als kladpapier

1
- instructie ofwel vernietigen ofwel correct klasseren

 

verlies niet geëncrypteerde USBsticks

1
- USB-gebruik voor persoonsgegevens wordt afgeraden

 

mondeling doorgeven van informatie

1
- veiligheidsbeleid wordt verder uitgewerkt
- er wordt extra gehamerd op het loggen elk contact

 

mailen te veel informatie naar te veel personen handmatig

2
- gesprek met diegene die mail verstuurd heeft (en de betrokkene)
- sensibilisering van de personen die toegang hebben tot de informatie

 

mailen te veel informatie naar te veel personen
geautomatiseerd

1
- automatische verzending naat andere adressen stil gelegd
- juiste parameters (bij API-call) toegevoegd
- uitbreiding testomgeving

 

online zetten informatie zonder bescherming

1
- de documenten werden op ‘besloten’ gezet
- de gelekte gegevens zijn gedesindexeerd
- DMS werd geblokkeerd voor zoekmachines
- opstarten inventarisatie van documenten die mogelijk ook persoonsgegevens bevatten

 

online formulier met mogelijkheid URL manipulatie zodat gegevens gebruikers openbaar konden gemaakt worden

1
- dienstverlening afgesloten
- ontwikkelen nieuw formulier

 

gebruikers kunnen gegevens gebruikers van andere entiteit raadplegen

2
- verwerker aangesproken maar nog niet opgelost
- beide entiteiten werden op de hoogte gesteld om met grootste zorg in het systeem te werken en enkel met de gegevens van de eigen entiteit te werken

 

generieke account aangemaakt om te testen blijft toegankelijk (raadpleging RR)

1
- afsluiten verwerking
- wijzigen toegangsrechten

 

wachtwoord afgekeken*

1
- alle verwerking werd afgesloten.
- paswoorden veranderd
- dubbele authenticatie algemeen
- toegang beperkter
- ondervraging en sanctionering leerling(en)
- verder onderzoek of meer leerlingen betrokken

 

wachtwoord misbruikt*

1
- persoon geconfronteerd
- wachtwoord gewijzigd

 

account laten openstaan*

1
- bewustwording
- dubbele authenticatie
- schorsing en tuchtonderzoek
- terechtwijzing

 

   
* 2 van dit soort meldingen betrof problemen met een interim of stage, in dat geval werd:
- interimaris gesensibiliseerd
- VDAB gecontacteerd

 

account na afsluiten einde tewerkstelling terug opgehaald

1
- intern onderzoek bezig