Afbeelding 'Old log book' van Admond onder Attribution 2.0 Generic licentie

Zwartboek Datalekken

Steeds meer persoonlijke gegevens worden opgeslagen in steeds meer databanken. De kans dat die gegevens op straat komen te liggen wordt daarmee steeds groter. Slachtoffers van datalekken worden lang niet altijd op de hoogte gesteld, terwijl door datalekken veroorzaakte identiteitsfraude een groeiend probleem is. Daarom heeft Bits of Freedom een Zwartboek Datalekken aangelegd, waarin we deze datalekken bijhouden.

Hiermee willen we bereiken dat het betreffende lek zo snel mogelijk wordt gedicht. En dat beheerders van een databank voorzorgsmaatregelen tegen toekomstige datalekken nemen.

Omdat het Zwartboek alleen niet voldoende is, hebben we ook een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. We hopen dat het parlement dit wetsvoorstel zo snel mogelijk aanneemt. Bits of Freedom pleit voor de introductie van een nieuw artikel 13a in de Wet bescherming persoonsgegevens, dat als volgt luidt:

  1. De verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat onbevoegd toegang is verkregen tot door hem verwerkte persoonsgegevens, stelt de betrokkenen daarvan onverwijld op de hoogte.
  2. De verantwoordelijke als bedoeld in het eerste lid stelt eveneens het College onverwijld op de hoogte.
  3. Het College houdt een openbaar register bij van de meldingen die het ontvangt uit hoofde van het tweede lid.
  4. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de meldingen dienen te geschieden.

Hieronder is een selectie opgenomen van datalekken uit 2009 en 2010. Dit overzicht is samengesteld aan de hand van een overzicht van Karin Spaink en een overzicht van Rejo Zenger. Dit overzicht is niet uitputtend, maar somt een aantal belangrijke datalekken op.

Selectie van datalekken uit 2010

  • September 2010 Het bedrijf Direct Sale verstuurt een reclame e-mail naar een adressenbestand. Per ongeluk zijn de 5.570 e-mailadressen van de geadresseerden in de e-mail zichtbaar.
  • September 2010 De tas van een raadsheer van de Hoge Raad wordt uit een trein gestolen. De tas bevatte twee strafdossiers. De Hoge Raad bevestigt de verdwijning.
  • September 2010 Een secretaresse van een gezondheidsinstelling heeft voor privédoeleinden het EPD geraadpleegd. De rechter oordeelde dat daarmee de privacy van de patiënt ernstig is geschaad.
  • September 2010 Justitie heeft meerdere keren een fax met gevoelige gegevens verkeerd verzonden. De fax kwam per ongeluk bij een burger terecht. Het Openbaar Ministerie bevestigt de fout en onderzoekt de zaak.
  • September 2010 T-Mobile lekt de logingegevens van een klant via Twitter. T-Mobile bevestigt direct de fout en geeft aan het gebruik van Twitter voor dit soort doeleinden te heroverwegen.
  • September 2010 De Consumentenbond kocht tien tweedehands computers en onderzocht de hard schijven. Veel van de computers bevatten persoonsgegevens. Op een oude computer van de Hartstichting stonden medische gegevens van enkele consumenten.
  • Augustus 2010 Het klachtenformulier op de website van het voormalige TV programma Breekijzer bleek onvoldoende beveiligd te zijn. Vermoedelijk waren de gegevens van 13.000 klachten publiek toegangelijk. Het TV programma was niet bereikbaar en de provider heeft de website na melding ontoegangelijk gemaakt.
  • Juli 2010 De website van de touroperator Corendon lekt reis- en persoonsgegevens. Door andere, gemakkelijk te raden, klant- en reisnummers op te geven worden gegevens van andere reizigers inzichtelijk. Corendon bevestigt het lek.
  • Juli 2010 De Gemeente Tynaarlo verstuurde begin deze maand een nieuwsbrief met de e-mailadressen van 300 geadresseerden zichtbaar in. De gemeente bevestigt de fout en zegt een extra controlemoment in te bouwen om herhaling te voorkomen.
  • Juli 2010 Begin dit jaar zette het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP) patientenkaarten met medische en strafrechtelijke gegevens op straat, zo blijkt uit een persbericht van het CBP. Uit onderzoek blijkt dat het NIFP jarenlang onbeveiligd in een kelder van een pand had opgeslagen, zonder zicht te hebben op verlies of onrechtmatige verwerking.
  • Juli 2010 De vereniging van kabelbedrijven, NLkabel, verstuurde eerder vandaag haar dagelijkse nieuwsbrief. Zo’n 375 adressen kwamen per ongeluk in de e-mail zelf terecht. NLkabel bevestigde in een op volgende e-mail de fout.
  • Juni 2010 De website wksuperpool.nl bleek slecht beveiligd te zijn: door het adres van de website aan te passen kon men eenvoudig bij de door de website opgeslagen gegevens. In de database waren vele e-mailadressen en slecht beveiligde wachtwoorden te achterhalen. De beheerder bevestigde de fout.
  • Juni 2010 Iemand die bij een gemeente een gemeentegids aanvroeg, kreeg per ongeluk niet de gevraagde gids maar de signaleringslijst toegestuurd. De signaleringslijst is lijst van namen van ongeveer 2800 namen van mensen die niet zomaar een nieuw paspoort mogen krijgen of die hun paspoort moeten inleveren. Het Ministerie van Binnenlandse Zaken bevestigt de fout.
  • Mei 2010 Een database van 3FM bleek niet goed beveiligd en onder meer 22.000 e-mailadressen werden gekopieëerd. Delen van de database structuur werden op een website gepubliceerd. 3FM bevestigd de hack.
  • Mei 2010 De website Ervaar het OV, gebruikt door de provincie Gelderland voor de promotie van het openbaar vervoer en de OV chipkaart, blijkt lek te zijn. De gegevens van 168.000 reizigers, waaronder naam, adres, geboortedatum, e-mailadres en telefoonnummer.
  • Mei 2010 Bij de achteringang van het politiebureau in Arnhem werd vorig week een dossier gevonden met met gegevens en foto’s van elf verdachten. De politie erkent de fout.
  • Mei 2010 De politie van de regio Amsterdam-Amstelland publiceerde gisteren een bericht over een drugstransport. De foto bij het bericht bevatte de naam- en adresgegevens van een van de verdachten. De politie erkent de fout.
  • Mei 2010 Door een fout van het secretariaat van de stichting Hypotheekleed is een email met vertrouwelijk gegevens van DSB gedupeerden, onbedoeld bij een van de aangesloten particulieren terecht zijn gekomen. De stichting erkent de fout.
  • April 2010 Een rechter van de Haarlemse rechtbank heeft een dossier en een beveiligde USB stick over een lopende strafzaak in de trein laten liggen. De rechtbank bevestigt de vermissing. Het dossier is later teruggevonden.
  • April 2010 Op de website van de gemeente Groningen worden de bouwaanvragen gepubliceerd waarbij men de documenten vergeet te anonimiseren. Het gevolg is de persoonsgegevens van de aanvragers online komen te staan. Na een melding maakt de gemeente dat deel van de website ontoegangelijk.
  • April 2010 Een publieke toegangelijke directory op de website van Extremediscount.nl zou de gegevens van ruim 1.000 klanten bevatten. De naw- en rekening gegevens staan in pdf bestanden die zijn aangemaakt na een retouraanvraag of een orderannulering.
  • April 2010 Een computer met psychiatrische en psychologische rapportages, medische verslagen en familiaire omstandigheden van zo’n vijftien gevangenen die in 2002 het Arnhemse huis van bewaring vastzaten, is als huisvuil op straat gezet. Het Ministerie van Justitie bevestigt het verlies.
  • April 2010 De gemeente Groningen publiceert volledige aanvragen voor bouwvergunningen online, inclusief de persoonsgegevens van de aanvrager. Na een melding haalt de gemeente de gegevens van de website.
  • Maart 2010 Via de website van de Huisartsenopleiding zijn de gegevens van alle sollicitanten toegankelijk, inclusief BSN, mobiele telefoonnummers, specialisatie, door eenvoudigweg een URL te veranderen. Na een tip van Bits of Freedom is het lek gedicht. De Huisartsenopleiding gaf aan een meldplicht datalekken te ondersteunen.
  • Februari 2010 De Telegraaf ontving via de post de jaaropgaven over 2009 van alle ambtenaren, bestuurders en medewerkers van de gemeenten Woudenberg en Scherpenzeel. Het is niet bekend hoe de documenten gelekt zijn.
  • Februari 2010 De gemeenten Zaanstad en Lith lekken privé-adressen van alle kandidaten voor de Tweede Kamerverkiezingen van 2006. De adressen zitten in de metadata van de stemcomputersoftware die toen gebruikt werd.
  • Februari 2010 Uit een onderzoek van de Algemene Onderwijsbond blijkt dat veel scholen onbedoeld gevoelige informatie publiceren. Na melding halen de meeste scholen de informatie weg. Sommige scholen hebben ook contact opgenemen met Google, om de informatie daar uit de cache te halen.
  • Februari 2010 Een lijst met mail-, huisadressen en 06-nummers van alle PvdA-politici én donateurs in de regio Amsterdam ligt op straat. Het gaat om de gegevens van honderden PvdA-leden die in 2007 actief waren voor de partij. Veel leden zijn nu ook nog steeds actief in de partij. Een paar uur later is de open directory afgesloten, maar is de lijst nog wel via Google Cache te vinden.
  • Februari 2010 De contactgegevens waaronder telefoonnummers van meer dan 170.000 werknemers en contractanten van Shell zijn gelekt naar mensenrechten- en milieugroeperingen. Shell vermoedt dat de gegevens door een ontevreden (ex-)werknemer zijn gelekt.
  • Februari 2010 Onroerend goed veilingmonitor Veilingnotaris.nl lekt honderden paspoortnummers en andere identiteitsdocumenten. De nummers zijn gekoppeld aan persooonsgegevens. Deze pdf documenten zijn onder meer terug te vinden via Google.
  • Februari 2010 De gemeente Tilburg heeft per ongeluk 500 emailadressen van stadsbewoners bekendgemaakt. Een email werd zo verstuurd dat alle 500 geadresseerden elkaars mailadressen konden lezen.
  • Januari 2010 Het in werking zetten van een nieuw profielensysteem van Rijkswaterstaat leidt tot problemen. Burgers komen ongevraagd in persoonlijke profielen van onbekenden terecht. Bij het klikken op de link in de e-mail werd de gebruiker geleid naar de informatie van een vorige registrant.

Selectie van datalekken uit 2009

  • December 2009 In december 2009 is een USB-stick met de gegevens van 3.000 klanten van de Rabobank kwijtgeraakt. De stick bevatte persoonsgegevens, beleggingsvormen en in veel gevallen de hoogte van het belegde vermogen. Lees meer in De Gelderlander.
  • Augustus 2009 Het adresboek van persbureau GPD bleek in augustus 2009 voor iedereen via Google beschikbaar te zijn gemaakt. Hierdoor zijn de telefoonnummers van bekende Nederlanders die een geheim nummer hebben, waaronder Geert Wilders en Gerard Spong, beschikbaar gekomen. Lees meer op Tweakers.
  • Augustus 2009 De website van Stayokay bleek onvoldoende beveiligd te zijn, waardoor het mogelijk was om, door een wijziging van de URL, de orders van anderen in te zien. Lees meer op Tweakers.
  • Mei 2009 Het Dagblad van het Noorden heeft in mei 2009 meer dan 32.000 emailadressen van haar klanten per ongeluk toegankelijk gemaakt via haar website. De adressen zijn geïndexeerd in zoekmachines. Lees meer op WebWereld.
  • Mei 2009 Door een nooit gepatcht gat in de Majordomo listserver van Vuurwerk/Tele2 kunnen met een simpel mailcommando 114.093 e-mailadressen worden geoogst. Lees meer op WebWereld.
  • April 2009 Door een fout in de website van de Geschillencommissie waren alle lopende en afgesloten dossiers tot 2005 online in te zien door personen die een geschil hadden lopen. Dit zijn tienduizenden geschillen. De dossiers bevatten gevoelige persoonsgegevens, zoals jaarafrekeningen, bankafschriften en NAW-gegevens. Pas in april 2009 is dit lek ontdekt door een journalist en de website is vervolgens off-line gegaan. Lees meer op de website van de NOS.
  • Maart 2009 De website ov-fiets.nl, van de Nederlandse Spoorwegen, lektte tot voor kort de gegevens van haar klanten. In ieder geval de naam, het adres, de woonplaats en het bankrekeningnummer van de klanten waren zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen. OV-fiets heeft ruim 50.000 abonnees. Lees meer op WebWereld.
  • Maart 2009 Een website van de politie waarop mensen die geflitst waren de foto’s van hun overtreding konden bekijken, blijkt lek te zijn geweest. Geflitste bestuurders konden na inloggen ook de foto’s van andere overtreders zien, waar soms precies op staat wie een auto bestuurt en wie er naast zit. Lees meer op de website van De Telegraaf.
  • Februari 2009 Een site waar gratis condooms konden worden besteld, maakte de gegevens van al haar klanten – ongeveer 10.000 – per ongeluk on-line beschikbaar. De site was juist bedoeld voor personen die zich schaamden om via een winkel condooms te kopen. Dit lek kwam in februari 2009 aan het licht. Lees meer op Nu.nl.
  • Januari 2009 Volgens een melding op de website van Monsterboard zijn contact- en accountgegevens ontvreemd, waaronder gebruikersaccounts en wachtwoorden, e-mailadressen, namen, telefoonnummers en beperkte demografische gegevens. Lees meer op WebWereld.

Ontbreekt een belangrijk datalek? Laat het ons weten via info@bof.nl.

WORD DONATEUR

Doe mee

Vind je internetvrijheid een van de belangrijkste onderwerpen van de 21ste eeuw? En wil je niets liever dan jouw talenten inzetten voor vrijheid en privacy op het internet? Dan ben je bij Bits of Freedom op je plaats.

Zet je talent in!