De-Autoriteit-Persoonsgegevens-is-gehackt

De Autoriteit Persoonsgegevens is gehackt

Geplaatst op 18 mei 2023

Vorig jaar heeft de Autoriteit Persoonsgegevens (AP) te maken gehad met een social engineering-aanval. Ze ontvingen een pdf-bestand dat er legitiem uitzag, maar in werkelijkheid een aanvalsmethode bevatte. Toen het pdf-bestand werd geopend, voerde het een poortscan uit op de systemen van de AP. Het jaarverslag van 2022 (pdf) vermeldt dat de Autoriteit Persoonsgegevens in totaal vijftig beveiligingsincidenten heeft ervaren.

Van deze incidenten waren er 26 datalekken, waarbij persoonsgegevens betrokken waren. In vier gevallen heeft de AP melding van de datalekken bij zichzelf gedaan. Het merendeel van de datalekken betrof verkeerd geadresseerde brieven en e-mails. Een belangrijke uitzondering, volgens de AP, was het datalek dat zich voordeed op de Dag van de FG-website.

Op deze website stonden third-party plug-ins die gegevens naar Google doorstuurden. Op verzoek van de Autoriteit Persoonsgegevens heeft de leverancier deze plug-ins verwijderd. Daarnaast heeft Google bevestigd dat persoonsgegevens die betrekking hadden op Google Fonts en reCaptcha zijn verwijderd. Tijdens de verhuizing naar de nieuwe locatie van de Autoriteit Persoonsgegevens deden zich enkele incidenten voor. Bovendien heeft de toezichthouder melding gemaakt van enkele verstoringen die hebben geleid tot onbeschikbaarheid van de kantoorautomatisering.

De AP meldt ook dat ze het slachtoffer zijn geworden van een social engineering-aanval. Ze ontvingen een pdf-bestand dat er legitiem uitzag, maar via een onbetrouwbare website werd aangeboden. Het openen van de link in het bestand resulteerde in een poortscan op de systemen van de AP. Omdat de poortscan specifieke netwerkpoorten scande die niet in gebruik waren bij de AP, concludeert de toezichthouder dat er geen verdere inbreuk op de beveiliging heeft plaatsgevonden. Naar aanleiding van dit incident heeft de AP extra aandacht besteed aan de bewustwording van beveiliging bij medewerkers.

De Autoriteit Persoonsgegevens (AP) is een organisatie die toezicht houdt op de naleving van de Algemene Verordening Gegevensbescherming (AVG) in Nederland. Haar rol is om de privacyrechten van individuen te beschermen en ervoor te zorgen dat organisaties op een rechtmatige en veilige manier omgaan met persoonsgegevens.

De basisregels van de AVG omvatten verschillende principes, waaronder:

  1. Rechtmatigheid, behoorlijkheid en transparantie: Organisaties moeten persoonsgegevens op een rechtmatige wijze verwerken, met duidelijke en begrijpelijke informatie voor de betrokken personen.
  2. Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.
  3. Dataminimalisatie: Organisaties moeten ervoor zorgen dat de verzamelde persoonsgegevens beperkt zijn tot wat noodzakelijk is voor de doeleinden van de verwerking. Ze moeten streven naar het minimaliseren van de gegevensverzameling.
  4. Juistheid: Persoonsgegevens moeten accuraat en actueel zijn. Organisaties moeten redelijke maatregelen nemen om ervoor te zorgen dat onjuiste of verouderde gegevens worden gewist of gecorrigeerd.
  5. Opslagbeperking: Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokken personen niet langer te identificeren dan nodig is voor de doeleinden van de verwerking.

De Autoriteit Persoonsgegevens heeft vijf taken om toezicht te houden op de naleving van de AVG:

  1. Voorlichting geven: De AP informeert individuen en organisaties over hun rechten en plichten onder de AVG en geeft richtlijnen en adviezen over gegevensbescherming.
  2. Klachten behandelen: Personen kunnen bij de AP klachten indienen over mogelijke inbreuken op hun privacyrechten. De AP onderzoekt deze klachten en neemt indien nodig maatregelen.
  3. Toezicht houden: De AP controleert of organisaties zich houden aan de regels van de AVG en voert onderzoeken uit om mogelijke schendingen op te sporen.
  4. Bevoegdheden uitoefenen: De AP heeft bevoegdheden om boetes op te leggen en andere dwangmaatregelen te treffen tegen organisaties die de AVG overtreden.
  5. Samenwerken met andere toezichthoudende autoriteiten: De AP werkt samen met andere Europese toezichthoudende autoriteiten om de consistentie van de gegevensbescherming binnen de Europese Unie te waarborgen.

De Autoriteit Persoonsgegevens (AP) is een organisatie in Nederland die toezicht houdt op de naleving van de Algemene Verordening Gegevensbescherming (AVG). Haar rol is om de privacyrechten van individuen te beschermen en ervoor te zorgen dat organisaties op een legale en veilige manier omgaan met persoonsgegevens.

De basisregels van de AVG omvatten verschillende principes.

Allereerst is er het beginsel van rechtmatigheid, behoorlijkheid en transparantie, wat inhoudt dat organisaties persoonsgegevens op een wettige en eerlijke manier moeten verwerken, met duidelijke en begrijpelijke informatie voor de betrokken personen.

Daarnaast is er het principe van doelbinding, waarbij persoonsgegevens alleen verzameld mogen worden voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Verder moeten organisaties streven naar dataminimalisatie, wat betekent dat ze alleen die persoonsgegevens mogen verzamelen die noodzakelijk zijn voor de beoogde verwerkingsdoeleinden en geen overbodige gegevens moeten verzamelen.

Een ander belangrijk principe is juistheid, waarbij organisaties ervoor moeten zorgen dat de persoonsgegevens accuraat en actueel zijn. Ze moeten passende maatregelen nemen om eventuele onjuiste of verouderde gegevens te corrigeren of te verwijderen.

Tot slot is er het principe van opslagbeperking, wat inhoudt dat persoonsgegevens alleen bewaard mogen worden zolang als nodig is voor de verwerkingsdoeleinden. Het is belangrijk om gegevens te verwijderen of te anonimiseren wanneer ze niet langer nodig zijn.

De Autoriteit Persoonsgegevens heeft vijf taken om ervoor te zorgen dat de regels van de AVG worden nageleefd:

  1. Voorlichting: De AP informeert individuen en organisaties over hun rechten en plichten onder de AVG. Ze biedt richtlijnen, adviezen en educatieve materialen om bewustwording te vergroten en goede privacypraktijken te bevorderen.
  2. Klachtenafhandeling: Personen kunnen bij de AP een klacht indienen over vermeende schendingen van hun privacyrechten. De AP onderzoekt deze klachten en kan indien nodig corrigerende maatregelen opleggen.
  3. Toezicht: De AP houdt toezicht op de naleving van de AVG door organisaties. Ze voert onderzoeken uit om mogelijke inbreuken op te sporen en te beoordelen of organisaties passende maatregelen hebben genomen om de privacy van individuen te waarborgen.
  4. Handhavingsbevoegdheden: De AP heeft handhavingsbevoegdheden om op te treden tegen organisaties die de AVG overtreden. Dit omvat het opleggen van boetes, het uitvaardigen van bindende instructies en het treffen van andere dwangmaatregelen.
  5. Samenwerking: De AP werkt samen met andere Europese toezichthoudende autoriteiten om de consistentie van gegevensbescherming binnen de Europese Unie te waarborgen.
©J CyberStop