Overzicht gegevenslekken reeds gemeld aan de VTC
Overzicht van de types gegevenslekken die aan de Vlaamse Toezichtcommissie werden gemeld vanaf juni 2018 tot en met 2021. De maatregelen die de verwerkingsverantwoordelijken zelf genomen hadden of gepland hadden, worden ter inspiratie vermeld. De VTC heeft enkel gebundeld, geanonimiseerd en de maatregelen die manifest niet aangeraden konden worden verwijderd.
Er is nog geen latere rapportering ter beschikking voor publicatie, maar die volgt in 2024.
Alle meldingen betroffen persoonsgegevens (een enkele case na onderzoek toch niet). Sommige meldingen hadden betrekking op medische gegevens. Het betrof ook het rijksregisternummer en de raadpleging van andere rijksregistergegevens (door Vlaamse instanties).
De meldingen hadden overwegend betrekking op onderwijsinstellingen, steden en gemeenten en OCMW.
De vermelding van de incidenten en maatregelen houdt voor geen van beide een beoordeling in van de VTC, maar is bedoeld als bewustmaking en stap om tot best practices en richtlijnen te komen.
Niet altijd vermeld omdat standaardprocedure:
- sensibilisering tijdig melden incidenten
- opgenomen in incidentenregister
- functionaris (DPO) ingelicht
- coƶrdinatie door Crisis Management Team.
Begin maart 2019 werden verschillende aan elkaar gekoppelde gevallen van phishing gemeld bij de lokale besturen, waarop zowel de VVSG als de Vlaamse Overheid waarschuwingen hebben verstuurd. In oktober 2019 werd en nieuwe aanval gerapporteerd. Inzake phishing zijn de vermelde aantallen niet bepalend omdat ze soms overlappen en gelijkaardige niet altijd apart werden geteld. De cijfers zijn intussen niet erg relevant meer. Phishing was echter ook nog in 2023 een probleem.
De VTC beveelt sterk aan om waar mogelijk multifactorauthenticatie (MFA) te installeren omdat daarmee veel en verschillende soorten datalekken kunnen worden voorkomen. Er zijn aanwijzingen dat de geleidelijke invoering van MFA al een positieve impact heeft op het aantal meldingen van datalekken. Ook bij MFA blijft waakzaamheid gebonden, want het kan ook wel omzeild worden.
Voor wat cyberincidenten zoals hacking (al dan niet met ransomware) betreft, verwijst de VTC naar haar Minimale beoordelingscriteria van de VTC inzake informatieveiligheid.
Dit is dus een overzicht van wat er allemaal misgaat en mis kan gaan, maar hopelijk niet bij uw organisatie. Laat u inspireren.
Indien u de overzichten op een andere manier wenst te bekijken, kunt u de jaarverslagen van de VTC raadplegen.