[ archief ] Mega datalek donorregistratie

[BL2]

Naar nu bekend is geworden is er een enorm datalek rond de Donorregistratie ontstaan. De gegevens van miljoenen Nederlands, opgeslagen op 2 harde schijven, is zoek. Ook blijkt nu dat de schijven zelf niet beveiligd waren.
Hoe knullig en laks wordt er met zeer vertrouwelijke privegegevens van miljoenen Nederlanders omgegaan.
Welke gevolgen kan dit hebben als deze gegevens in verkeerde handen vallen ?

De officiële folder probeert een heel ander beeld te geven;

Kunnen anderen mijn keuze bekijken in
het Donorregister?

Uw keuze in het Donorregister is veilig.
Alleen artsen en
verpleegkundigen in het ziekenhuis kunnen uw keuze zien. Ze mogen
dat alleen zien vlak voor uw overlijden of daarna. In de wet staat dat
niemand anders in het Donorregister mag kijken. De wettelijke
richtlijnen over privacy worden altijd gevolgd.

[BL2]

............ en of het nog is uit te lezen, vanaf 1998 tot 2010 dus Windows 95 bestanden zijn niet uit te sluiten!

En toen je dit schreef wist ik echt zeker dat je geen idee hebt waar je over praat.

[Justmeagain]

Gevolgen? Dat de persoon die de harde schijf heeft kan zien dat ik volledig leeggehaald mag worden na overlijden. Verder niets.

[kiz]

Naar nu bekend is geworden is er een enorm datalek rond de Donorregistratie ontstaan. De gegevens van miljoenen Nederlands, opgeslagen op 2 harde schijven, is zoek. Ook blijkt nu dat de schijven zelf niet beveiligd waren.
Hoe knullig en laks wordt er met zeer vertrouwelijke privegegevens van miljoenen Nederlanders omgegaan.
Welke gevolgen kan dit hebben als deze gegevens in verkeerde handen vallen ?

De officiële folder probeert een heel ander beeld te geven;

Kunnen anderen mijn keuze bekijken in
het Donorregister?

Uw keuze in het Donorregister is veilig.
Alleen artsen en
verpleegkundigen in het ziekenhuis kunnen uw keuze zien. Ze mogen
dat alleen zien vlak voor uw overlijden of daarna. In de wet staat dat
niemand anders in het Donorregister mag kijken. De wettelijke
richtlijnen over privacy worden altijd gevolgd.

Datalek inderdaad. Zal dus ook (hopelijk tijdig) gemeld zijn bij de Autoriteit Persoonsgegevens.

Dan even de nuance: het gaat om 6,9 miljoen formulieren uit de periode 1998-2010. Wat waren de wettelijke richtlijnen in die periode? Als je die weet kan je (achteraf) constateren of die al dan niet afdoende zijn gevolgd.
Het aantal vana 6,9 miljoen. Nederlanders jonger dan 28 jaar zitten daar sowieso niet in, en van alle Nederlanders die sinds 2010 zijn overleden zijn de gegevens nutteloos.
Hoeveel blijft er dan over van 6,9 miljoen?

[Revoked]

Gevolgen? Dat de persoon die de harde schijf heeft kan zien dat ik volledig leeggehaald mag worden na overlijden. Verder niets.

Dat valt te bezien. Als ze databases kunnen linken dan kunnen ze fijn identiteitsfraude gaan plegen. Met flinke financiële tegenslagen voor de slachtoffers. En de Tapkamer van de politie is vooralsnog niet ingericht om veel van dit soort fraudes te herkennen en tegen te gaan.

[Erthanax]

Van 2011 tm 2019 overleden in Nederland ongeveer 1,2 miljoen mensen volgens het CBS. Dat er van 5,7 miljoen inwoners minimaal naam, geboortedatum en BSN op straat liggen, vind ik beslist zorgelijk.

[Moneyman]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek. Er is sprake van zoekgeraakte HD's. Toch iets heel anders. Het één kan leiden tot het ander, maar er is nog geen enkele aanwijzing dat de data in verkeerde handen zijn gevallen.

[16again]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

[Lowieze]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

Maar ze geven zelf ook toe “Tot op heden hebben wij geen signaal ontvangen van onbevoegde kennisname van de gegevens op de externe harde schijven. “

[Moneyman]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

Logisch. Ook de "dreiging van" een datalek moet immers op grond van de AVG gemeld worden.

Er is echter niet gebleken dat die data daadwerkelijk ergens anders is beland. Desondanks spreekt men, ook bij het ministerie, volop van "een datalek" in plaats van "een dreiging met een datalek". Vanuit het belang van zorgvuldigheid in de communicatie vind ik dat, ondanks dat "de volksmond" deze nuances heel vaak niet gebruikt, onbegrijpelijk.

[Komkommertijd]

Oude harde schijven sneuvelen wel eens!

Ik heb diverse Seagate die er om bekend staan!
Ook bestaat de kans op wissen of vernietigd en niet goed genoteerd hoe dat is gedaan.

Zelf heb ik een stevige bankschroef en als je ze daar in fijn ging knijpen is alle data onleesbaar!
Ik verwacht dat alles in een nieuw systeem is overgezet en deze schijven vernietigd of gewist zijn.
Als je na wissen er een filmpje of zo opgezet hebt is alles overschreven en niet meer terug te halen!

Zo simpel kunnen oude schijven vernietigd worden.
Of leg ze een avondje in je houtkachel, bleef er ook niets over van al deze mensen!
Er is dus slechts een kans op data lek van verouderde info, en of het nog is uit te lezen, vanaf 1998 tot 2010 dus Windows 95 bestanden zijn niet uit te sluiten!

[kweenie]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

Het tendentieuze is niet zozeer of het wel of geen datalek is (dat is het m.i. inderdaad wel). Een datalek is, even lekker formeel, toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. En daar is al heel snel sprake van.

Het tendentieuze is dat een datalek nog niet hoeft te betekenen dat de data van miljoenen mensen 'op straat ligt'. Op het moment dat je als organisatie weet van het bestaan van een harde schijf met persoonsgegevens en je weet niet waar die schijf ligt, dan moet je binnen 3 dagen melding van een mogelijk datalek doen. Anders ben je zwaar in overtreding.

Dus stel dat iemand op de vrijdagmiddagborrel verhalen van vroeger vertelt, over dat die gegevens toen nog gewoon op een harde schijf stonden, en bij een van de aanwezigen komt dan de vraag boven wat daar eigenlijk mee gebeurd zou zijn, dan hebben ze tot maandagmiddag de tijd om dat te achterhalen. Anders moeten ze (het vermoeden van) een datalek melden. Net als dat ze in dit geval bij de verwachting dat die harde schijven in de kluis zouden liggen, en ze die niet zien liggen, binnen 3 dagen melding moeten maken. Grote kans dat ze niet in die korte tijd kunnen achterhalen wat ze tien jaar geleden met de apparatuur hebben gedaan en dat ze dus een mogelijk datalek zullen melden.

Het vervelende van zulke berichten is wel dat je later nooit meer leest hoe het afloopt. Als ze over een paar weken (of maanden, wie weet) hebben achterhaald dat die schijven netjes vernietigd zijn (bijvoorbeeld omdat de data al ergens anders op een beveiligde locatie staat) of dat de schijven al jaren geleden in een andere kluis zijn gelegd, dan komt dat niet meer in de krant. En blijft alleen het verhaal hangen over de 'verloren' schijf en dat de data van miljoenen mensen te grabbel liggen.

[HADES2001]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek. Er is sprake van zoekgeraakte HD's. Toch iets heel anders. Het één kan leiden tot het ander, maar er is nog geen enkele aanwijzing dat de data in verkeerde handen zijn gevallen.

Beste Moneyman, dit valt juist onder een datalek https://www.justitia.nl/privacy/datalekken

Wat is een datalek?
We spreken van een datalek of privacylek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder een datalek in de zin van de AVG.

Juridisch gezien telt het als een datalek, maar het word zo breed opgepakt dat de datalek die er nu is gewoon kan zijn. Henk is vergeten dat er nog 2 schijven in zijn la liggen. Iets totaal anders als een hacker die de volle database download en vervolgens encrypt en bitcoins eist of hij gooit het op het internet

[Jasper45]

Juridisch gezien telt het als een datalek,..

??; welk (Wets-)artikel?

[sjohie]

Juridisch gezien telt het als een datalek,..

??; welk (Wets-)artikel?

Hier staat het duidelijk omschreven. De Autoriteit Persoonsgegevens noemt Artikel 4, punt 12 van de AVG.

En dit zou dan zo te lezen vallen onder "Inbreuk op de beschikbaarheid", want het valt volgens mij onder onopzettelijk verlies van toegang tot persoonsgegevens?

[crazyme]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

Maar ze geven zelf ook toe “Tot op heden hebben wij geen signaal ontvangen van onbevoegde kennisname van de gegevens op de externe harde schijven. “

Alsof de harde schijven een signaaltje geven wanneer een onbevoegde de data op een obscure marktplaats zet.

Dit is natuurlijk een verklaring van niets.

[Moneyman]

Lekker tendentieuze berichtgeving weer dit.

Er is nog helemaal geen sprake van een datalek.

Wat heeft CIBG dan gemeld bij autoriteit persoonsgegevens? Jawel, een datalek

Het tendentieuze is niet zozeer of het wel of geen datalek is (dat is het m.i. inderdaad wel). Een datalek is, even lekker formeel, toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. En daar is al heel snel sprake van.

Het tendentieuze is dat een datalek nog niet hoeft te betekenen dat de data van miljoenen mensen 'op straat ligt'. Op het moment dat je als organisatie weet van het bestaan van een harde schijf met persoonsgegevens en je weet niet waar die schijf ligt, dan moet je binnen 3 dagen melding van een mogelijk datalek doen. Anders ben je zwaar in overtreding.

Dit dus. Heel veel datalekken in formele zin zijn dat niet in praktische zin.

[BL2]

Compleet onderbelicht tot nu toe, ook de "officiële orgaan donatie wereld" binnen Nederland is gewoon een commerciële wereld met kosten en baten.
Als dit soort gegevens ooit in verkeerde handen vallen kan de beslissing tussen iemand oplappen of laten overlijden wel eens heel anders worden toegepast, met grote gevolgen voor patiënt en/of donor.

[cherokee]

............ en of het nog is uit te lezen, vanaf 1998 tot 2010 dus Windows 95 bestanden zijn niet uit te sluiten!

En toen je dit schreef wist ik echt zeker dat je geen idee hebt waar je over praat.