Digitale inbraak
Eind 2022 heeft een onbevoegde toegang gehad tot privacygevoelige informatie in twee mailboxen. Dit blijkt uit onderzoek door een gespecialiseerd bureau naar aanleiding van een poging tot factuurfraude.
De gemeente heeft direct aangifte gedaan bij de politie, melding gedaan bij de Autoriteit Persoonsgegevens en maatregelen genomen om verdere schade te voorkomen.
Onderzoek
Uit een eerder onderzoek bleek dat er toegang is geweest tot ongeveer 23.000 bestanden en andere gegevens. Denk daarbij aan naam en adresgegevens, financiële gegevens, zoals bankrekeningnummers en burgerservicenummers. Wij weten niet zeker of deze gegevens alleen bekeken zijn of ook gestolen zijn.
Daarna is er uitgebreid onderzoek gedaan naar de inhoud van de mailboxen. Er is gezocht op combinaties van gegevens die terug te leiden zijn naar een persoon. In zo’n geval kunnen criminelen deze informatie misbruiken.
Wat hebben wij gedaan?
Wij hebben meteen maatregelen genomen om de inbreuk te beëindigen en herhaling te voorkomen. Concreet hebben we extra beveiligingsmaatregelen getroffen om onze systemen en daarmee ook de mailboxen (nog) beter te beveiligen tegen inbreuken van buitenaf. We grijpen dit incident aan om gemeentebreed extra te investeren in bewustwording op het vlak van cybercriminaliteit, vanuit het besef dat we met privacygevoelige gegevens werken.
Wat kunt u zelf doen?
Wees alert! Krijgt u een telefoontje, post of een e-mail van de gemeente, uw bank of van een andere organisatie en twijfelt u of dit wel klopt? Neem dan zelf contact op met de betreffende organisatie om het bericht te controleren.
Gebruik daarvoor niet de contactgegevens uit de brief of e-mail die u heeft ontvangen. Zoek zelf het telefoonnummer op, bijvoorbeeld via internet.
Vragen
Wij snappen het als u vragen heeft met betrekking tot uw eigen gegevens. U kunt dan contact met ons opnemen via telefoonnummer (0493) 671 212. Wij plannen dan een afspraak met u op het gemeentehuis. Wij vragen u om uw legitimatiebewijs mee te nemen naar deze afspraak.
Veel gestelde vragen en antwoorden
Nee, u heeft niets fout gedaan. De gemeente is slachtoffer geworden van een digitale inbraak met een datalek als gevolg.
Nee dat kan niet. Dit zijn privacy gevoelige gegevens waarvoor u zich aan de balie moet legitimeren om ze te mogen inzien.
In bepaalde gevallen moeten gegevens geanonimiseerd worden. Per persoon wordt dit apart bekeken, vandaar dat daar wat tijd tussen zit.
In de onderzochte mailboxen zaten persoonsgegevens die direct naar een persoon leiden. In de meeste gevallen gaat het dan om (een combinatie van) naam, adres, bankrekeningnummer en burgerservicenummer. Deze mensen hebben van de gemeente een brief ontvangen.
Heeft u hierover een brief ontvangen en wilt u weten om welke gegevens het in uw situatie precies gaat, dan kunt u contact met ons opnemen via telefoonnummer (0493) 671 212. Wij plannen dan een afspraak met u op het gemeentehuis. Wij vragen u om uw legitimatiebewijs mee te nemen naar deze afspraak.
Wees alert! Krijgt u of kreeg u een telefoontje, post of een e-mail van de gemeente, uw bank of van een andere organisatie en twijfelt u of dit wel klopt? Neem dan contact op met de betreffende organisatie om het bericht te controleren. Gebruik daarvoor niet de contactgegevens uit de brief of e-mail die u heeft ontvangen. Zoek zelf het telefoonnummer op, bijvoorbeeld via internet.
Veilig internetten
- Controleer of een verdachte link veilig is: www.checkjelinkje.nl.
- Controleren of uw e-mailadres voorkomt in online datasets: https://www.politie.nl/informatie/checkjehack.html.
- Tips voor veilig internetten: www.veiliginternetten.nl
U leest hier ook meer over veilig draadloos internet, internetbankieren, veilig gebruik van social media, hoe u een phishingmail herkent en hoe u identiteitsfraude voorkomt.
- Een afschrijving van iemand of een organisatie waaraan u normaal geen geld betaalt en ook niet recent een contract bent aangegaan of iets bij gekocht heeft.
- Een rekening met daarop een bijzonder bedrag of als dit vaker gebeurt dan normaal.
- Een verdacht telefoontje, zoals een telefoonnummer uit het buitenland of een onbekend nummer.
- Whatsapp berichten of smsjes van ogenschijnlijk bekenden met een onbekend/nieuw telefoonnummer.
Het is altijd goed om uw wachtwoorden regelmatig te wijzigen. Zeker nu is dat verstandig. Kies altijd een sterk wachtwoord: met letters, hoofdletters, cijfers en leestekens. Gebruik voor ieder account een ander wachtwoord.
Denkt u dat u slachtoffer bent geworden van identiteitsfraude? Kijk dan op websites van de volgende organisaties:
- De eerste stappen bij verdenking van fraude:www.fraudehelpdesk.nl. Deze stichting helpt u gratis.
- Voor vragen over veilig bankieren en phishing: https://www.veiligbankieren.nl/fraude/phishing/;
- Informatie van de overheid over het voorkomen van misbruik van persoonsgegevens: www.rijksoverheid.nl/identiteitsfraude;
- Nazorg bij identiteitsfraude: https://www.slachtofferhulp.nl/gebeurtenissen/fraude/identiteitsfraude/;
- Centraal meldpunt: https://www.rvig.nl/centraal-meldpunt-identiteitsfraude
- Meer informatie over uw BSN: https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn
Eind 2022 is er een digitale inbraak geweest in twee mailboxen van de gemeente. Een speciaal bureau heeft uitgebreid onderzoek gedaan naar de inhoud van de mailboxen. Er is gezocht op combinaties van gegevens die terug te leiden zijn naar een persoon. In zo’n geval kunnen criminelen deze informatie misbruiken.
Wij weten niet zeker of deze gegevens alleen bekeken zijn of ook gestolen zijn.
De exacte oorzaak is niet duidelijk geworden. Organisaties, en ook overheden, moeten altijd maatregelen nemen om te voorkomen dat er een digitale inbraak plaatsvindt. Ook de gemeente Asten heeft zulke maatregelen genomen. Helaas heeft dit niet kunnen voorkomen dat er is ingebroken. De veiligheidsmaatregelen zijn wel verder opgeschroefd.
Een speciaal bureau heeft uitgebreid onderzoek gedaan naar de inhoud van de mailboxen. In deze mailboxen zat privacygevoelige informatie. Dit zijn bijvoorbeeld naam- en adresgegevens, bankrekeningnummers en burgerservicenummers. Er is gezocht op combinaties van gegevens die terug te leiden zijn naar een persoon. In zo’n geval kunnen criminelen deze informatie misbruiken.
Iemand zou misbruik kunnen maken van uw gegevens. Kwaadwillenden kunnen zich als iemand anders voordoen. Ze kunnen (phishing) mail geloofwaardiger maken wanneer zij over meer gegevens van u beschikken. Het lijkt dan alsof u een betrouwbaar bericht krijgt.
Met een kopie van uw geldige identiteitskaart waarop naam, geboortedatum en burgerservicenummer staan, kunnen fraudeurs bijvoorbeeld een lening aanvragen of een telefoonabonnement afsluiten. U kunt dan rekeningen krijgen voor dingen die u niet heeft gekocht.
Vanaf het moment dat het bekend is, zijn we intensief bezig om de inbreuk te beëindigen en herhaling te voorkomen. Concreet hebben we extra beveiligingsmaatregelen getroffen om onze systemen en daarmee ook de mailboxen (nog) beter te beveiligen tegen inbreuken van buitenaf. Ook hebben we het beleid omtrent mailboxen aangescherpt. Daarnaast zetten we in op extra bewustwording over de risico’s van cybercriminaliteit en het werken met privacygevoelige gegevens.
In eerste instantie leek het enkel een digitale inbraak te zijn met als doel factuurfraude. Om die reden hebben we aangifte gedaan bij de politie en hebben we advies gevraagd bij de IBD (de Informatiebeveiligingsdienst). Zij hebben meegedacht over de vervolgstappen.
Vervolgens hebben we een gespecialiseerd bureau ingehuurd om na te gaan hoe dit heeft kunnen gebeuren. Dat bureau heeft geconstateerd dat er onterecht toegang is geweest tot 2 mailboxen waarin persoonsgegevens zaten. Toen we dat wisten, hebben we melding gedaan bij de Autoriteit Persoonsgegevens en is op 22 mei 2023 een algemeen persbericht geplaatst.
Daarna is er uitgebreid onderzoek gedaan naar de inhoud van de mailboxen. Er is via verschillende digitale zoektechnieken gezocht in de bestanden naar combinaties van gegevens die terug te leiden zijn naar een persoon, zoals naam- en adresgegevens, bankrekeningnummers en burgerservicenummers. Er zijn ook diverse handmatige steekproeven uitgevoerd om de geautomatiseerde resultaten te controleren. Het onderzoek heeft een aantal maanden in beslag genomen, omdat er veel bestanden in de mailboxen zaten. Na dit onderzoek hadden we overzicht van welke persoonsgegevens er bij het datalek zijn betrokken en van wie deze persoonsgegevens zijn. Aan de mensen die hieruit naar voren kwamen, hebben wij een brief met informatie en advies gestuurd. Ook is er opnieuw een persbericht uitgebracht.
Ja, er is door de gemeente Asten onmiddellijk aangifte van poging tot factuurfraude gedaan bij de politie.
Ja, er is een melding gedaan bij de Autoriteit Persoonsgegevens.
Nee, er is geen geld overgemaakt naar aanleiding van de factuurfraude.
De wettelijke bewaartermijn verschilt per contactsoort. Er zijn situaties waarbij gegevens niet langer dan een jaar nodig zijn. En er zijn gegevens die voor altijd bewaard moeten worden.
Het is mogelijk dat gegevens op het darkweb komen. Het darkweb is een deel van het internet dat niet direct vindbaar is door zoekmachines. Op het darkweb zijn websites en bezoekers veelal anoniem.
Meer informatie over Privacy
- Bekijk de pagina Privacy