Nieuws

Datalek ontdekt

13.04.2018

STMG heeft een datalek geconstateerd. Eind maart heeft STMG ontdekt dat een van haar webservers onbeveiligd was. Dit betekent dat persoonsgegevens van cliŽnten toegankelijk waren voor derden. Het gaat om NAW-gegevens (naam, adres en woonplaats), BSN-nummer en betalingsgegevens. Informatie over de zorg en de gezondheid van cliŽnten was niet te raadplegen. Op de webserver waren ook persoonsgegevens van medewerkers in te zien. Dat betrof gegevens als NAW-gegevens, geboortedatum en e-mailadres.

 

Er is geen vermoeden van misbruik

Er is geen aanleiding om aan te nemen dat de gegevens in handen zijn geraakt van mensen die daar misbruik van zouden kunnen maken.

 

Deze actie heeft STMG ondernomen

STMG heeft de onbeveiligde webserver direct offline gehaald en het incident gemeld bij de Autoriteit Persoonsgegevens. Deze instantie heeft ons geadviseerd over de te ondernemen acties. Inmiddels is de beveiliging van onze systemen op orde en zijn maatregelen genomen om herhaling te voorkomen.

 

De betrokken cliŽnten en medewerkers worden/zijn via brief geÔnformeerd over het datalek (op vrijdag 13 april verstuurd). In deze brief heeft STMG excuses gemaakt voor het ongemak.

 

Hieronder vindt u veel gestelde vragen over dit onderwerp:

 

1.     Wat is een datalek?

De Autoriteit Persoonsgegevens geeft de volgende uitleg:

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

In dit geval gaat het om toegang tot persoonsgegevens zonder dat dit de bedoeling was van STMG.

 

2.     Wie kon bij mijn gegevens?

De gegevens stonden op een webserver (zie vraag 3 voor uitleg wat een webserver is). De gegevens waren te raadplegen door medewerkers van STMG, daar was het voor bedoeld. Echter, doordat de webserver onbeveiligd was, kon iemand van buiten de organisatie ook de webserver benaderen.

 

3.     Wat is een webserver?

Een webserver is een programma dat gegevens uit een database kan ontsluiten. Bijvoorbeeld om een overzicht samen te stellen dat geraadpleegd kan worden.

 

4.     Wat moet ik doen?

Er is geen reden om aan te nemen dat de gegevens in handen zijn geraakt van mensen die daar misbruik van willen maken. U hoeft geen actie te ondernemen. Wees wel altijd alert. Deel nooit gegevens en documenten niet met mensen die u niet kent. OfficiŽle instanties (bijvoorbeeld een gemeente of bank) zullen u nooit vragen om wachtwoorden of pincodes. Wordt u hier toch (telefonisch) over benaderd, geef dan nooit deze gegevens prijs. Twijfelt u? Hang dan op en benader zelf de betreffende instantie om te controleren of u daadwerkelijk met een medewerker van die instantie gesproken hebt.

Vermoed u misbruik van uw gegevens? Zie vraag 7.

 

5.     Waarom was de webserver niet beveiligd?

De webserver was niet beveiligd door een menselijke fout. Dit had uiteraard niet mogen gebeuren.

 

6.     Wat heeft STMG gedaan en wat gaat STMG in de toekomst hieraan doen?

STMG heeft direct de betreffende webserver offline gehaald. Ook is melding gedaan bij de Autoriteit Persoonsgegevens. Deze instantie heeft ons verder geadviseerd over de actie die ondernomen moesten worden. Inmiddels is de beveiliging van onze systemen op orde en zijn maatregelen genomen om herhaling te voorkomen. Daarnaast informeren we in overleg met de Autoriteit Persoonsgegevens alle betrokkenen.

 

7.     Wat moet ik doen als ik merk dat mijn persoonsgegevens misbruikt zijn?

Als u vermoedt dat u slachtoffer bent van fraude, moet u direct een aantal maatregelen nemen. Laat direct uw bankpasjes of creditcards tijdelijk blokkeren en doe aangifte bij de politie.

Voor meer informatie zie de website van de politie:

https://www.politie.nl/aangifte-of-melding-doen/iemand-heeft-misbruik-gemaakt-van-uw-persoonsgegevens.html en van de Rijksoverheid: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude

 


nieuwslijst