Wat is er gebeurd in 2021 op het gebied van cybersecurity en privacy?

Het jaar 2021 zit er bijna op. 2021 kunnen we beschouwen als één van de meest roerige jaren ooit op het gebied van cybersecurity en privacy in Nederland. Wij hebben de hoogtepunten van 2021 voor je verzameld in dit artikel.

#1 GGD – grootschalig datalek – handel in persoonsgegevens

Begin dit jaar hadden enkele medewerkers van de GGD toegang tot veel meer data dan noodzakelijk en konden ze die vrij eenvoudig inzien en exporteren. Deze gegevens werden ook te koop aangeboden.

#2 Ziekenhuis OLVG – boete – onvoldoende beveiliging medische dossiers

De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen.

#3 RDC – grootste datalek uit de Nederlandse geschiedenis

Door een datalek bij RDC die in maart 2021 werd ontdekt, zijn de NAW-gegevens, e-mailadressen, geboortedata, telefoonnummers en kentekens van mogelijk miljoenen Nederlanders in handen gevallen van cybercriminelen. RDC heeft aan de Autoriteit Persoonsgegevens aangegeven dat de bron van het datalek bij haar ligt.

#4 Microsoft Exchange Server – datalek

Het Nationaal Cyber Security Centrum (NCSC) meldde in maart 2021 dat er ten minste 1200 Nederlandse servers waarop Microsoft Exchange staat, zijn geïnfecteerd.

#5 Booking.com – boete – te laat melden datalek

De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro, omdat de organisatie een datalek te laat meldde bij de AP. Bij dit datalek konden cybercriminelen de hand leggen op creditcardgegevens van bijna 300 slachtoffers.

#6 Allekabels.nl – datalek door een hack

Bij dit datalek ging het om 2,6 miljoen e-mailadressen, die zijn gekoppeld aan namen, adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. De overige 1 miljoen getroffenen zijn mensen die via andere webshops aankopen hebben gedaan bij Allekabels.nl, zoals Bol en Amazon. Van deze klanten zijn geen e-mailadressen of wachtwoorden gelekt, maar wel andere gegevens.

#7 Verschillende organisaties – boete van AP

De Autoriteit Persoonsgegevens (AP) geeft de gemeente Enschede een boete van 600.000 euro, omdat de gemeente wifitracking gebruikte in de binnenstad op een manier die niet mag. De Partij voor de Vrijheid (PVV) Overijssel krijgt een boete opgelegd van 7.500 euro voor het niet melden van een datalek. Locatefamily.com krijgt een boete opgelegd van 525.000 euro. Locatefamily.com publiceerde adresgegevens en telefoonnummers van mensen, vaak zonder dat die mensen dat wisten. Het onderhoudsbedrijf CP&A kreeg een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens van medewerkers dan was toegestaan.

#8 Nieuw modelcontract voor veilige doorgifte persoonsgegevens

De Europese Commissie (EC) heeft een nieuw modelcontract goedgekeurd dat bedrijven kunnen gebruiken voor de doorgifte van persoonsgegevens vanuit de EU naar landen daarbuiten. Een andere naam voor een modelcontract is standard contractual clauses, SCC’s of standaardcontractbepalingen. Samen met het nieuwe contract heeft de EC een standaardverwerkersovereenkomst aangenomen. Deze overeenkomst helpt bedrijven om AVG-proof afspraken te maken met hun verwerkers.

#9 Google Workspace for Education – waarschuwing voor privacyrisico’s

Intussen is er met Google een overeenstemming bereikt over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Om Workspace for Education te blijven gebruiken, moeten scholen zelf nog een aantal handelingen uitvoeren.

#10 Onderwijs – datalekken

Nederlandse onderwijsinstellingen zijn regelmatig het doelwit van hackers. In februari waren de Hogeschool van Amsterdam en Universiteit van Amsterdam het doelwit van een cyberaanval. Het lukte een hacker toen om in de IT-omgeving van de onderwijsinstellingen binnen te dringen. Eind februari was het Staring College doelwit geworden van een ransomware-aanval. Het Staring College, heeft losgeld moeten betalen aan de cybercriminelen die hun bestanden hadden vergrendeld. ROC Mondriaan in Den Haag is in augustus slachtoffer geworden van een hackaanval. De cybercriminelen hebben gestolen data van de instelling online gezet, omdat de onderwijsgroep niet wilde betalen. De hogeschool van Arnhem en Nijmegen hoorde op 1 september dat er data was gelekt. Uit het onderzoek kwam naar voren dat een hacker zich via een webformulier toegang had verschaft tot 1 server van de HAN waarop een grote hoeveelheid data opgeslagen stond. Datalek bij Hanzehogeschool Groningen. Via een link konden ongenode gasten meekijken in studentenkamers. Hackers hebben accountgegevens van medewerkers, huisadressen en beschrijvingen van onderzoeken van de Universiteit in Leiden buitgemaakt.

#11 AP waarschuwt voor privacyrisico’s in het onderwijs

De bescherming van persoonsgegevens in de onderwijssector is essentieel. Als onafhankelijk toezichthouder heeft de AP de trends en risico’s over de bescherming van persoonsgegevens in het onderwijs in kaart gebracht. De AP heeft de minister voor Basis- en Voorgezet Onderwijs en Media en de minister van Onderwijs, Cultuur en Wetenschap in een brief met klem geadviseerd om als stelselverantwoordelijke een pakket aan maatregelen te nemen. Onderwijsinstellingen moeten zorgvuldig omgaan met de persoonsgegevens van leerlingen, studenten en ouders. De kwetsbare positie van kinderen vereist bovendien dat zij extra beschermd worden, zodat zij zich in een vrije en veilige (school)omgeving kunnen ontwikkelen. De bescherming van persoonsgegevens in de onderwijssector essentieel.

#12 Veel boetes opgelegd

Boete van 12.000 euro orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite. Nieuwe patiënten konden zich via een onbeveiligde website aanmelden. Een boete van 750.000 euro voor de videoapp TikTok wegens het schenden van de privacy van jonge kinderen. De AP legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van 450.000 euro op. Het UWV had het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving niet goed beveiligd. Een boete op van 400.000 euro voor luchtvaartmaatschappij Transavia, wegens het slecht beveiligen van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) legt de Belastingdienst een boete op van 2,75 miljoen euro. De Belastingdienst heeft jarenlang de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag op onrechtmatige, discriminerende en daarmee onbehoorlijke wijze verwerkt.

#13 GGD moet persoonsgegevens beter beschermen

Uit een afgerond onderzoek van de AP is gebleken dat er nog steeds wezenlijke risico’s bestaan voor de bescherming van persoonsgegevens bij het testen, vaccineren en het bron- en contactonderzoek tijdens de coronapandemie bij GGDén en brancheorganisatie GGD GHOR Nederland. De AP draagt de organisaties op om op korte termijn meer maatregelen te nemen om persoonsgegevens van betrokkenen beter te beschermen.

#14 Apache Log4j – ernstige kwetsbaarheid gevonden

Op 10 december is er een ernstige kwetsbaarheid gevonden in Apache Log4j. Op dit moment ziet het Nationaal Cyber Security Centrum (NCSC) kleinschalig misbruik, maar de verwachting is dat dit misbruik zal toenemen. Het NCSC heeft een stappenplan ontwikkeld. Organisaties kunnen dit stappenplan gebruiken om de kans op misbruik te verkleinen en bij het voorbereiden op eventueel misbruik.

Afsluiting 2021

We hebben dit jaar weer veel blogs en tips geschreven over allerlei cybersecurity en AVG-onderwerpen. Volgend jaar kunt u weer op ons rekenen!