Beveiligingslek Contactmomenten

Tijdens een eigen beveiligingscontrole op donderdag 30 april 2020 hebben we een lek gevonden in onze module ‘Contactmomenten’. Iemand zonder de nodige toegangsrechten zou de individuele contactmomenten hebben kunnen benaderen en kunnen inzien. Op vrijdag 01 mei hebben we hierover naar onze klanten een e-mail verzonden.

Meldingsplicht

Als verwerker van jullie opgeslagen persoonsgegevens zijn wij verplicht en vinden we het belangrijk om jullie zo snel mogelijk op de hoogte te stellen van een dergelijk beveiligingsincident.

Je bent als organisatie zelf verantwoordelijk voor de persoonsgegevens. Als verwerkingsverantwoordelijke ben je zelf verantwoordelijk om een inschatting te maken of het noodzakelijk is om een melding te maken bij de Autoriteit Persoonsgegevens. Je vindt op de site van Autoriteit Persoonsgegevens ook uitgebreide informatie over wat wel en niet een datalek is en hoe je moet handelen in specifieke situatie. Met onderstaande informatie willen we je helpen met het maken van de juiste inschatting en geven we antwoord op andere vragen over dit beveiligingsincident.

Wat we tot nu toe hebben onderzocht en gedaan

  • We hebben in onze logboeken gezocht naar signalen om te achterhalen of er misbruik is gemaakt van deze mogelijkheid, deze hebben we gelukkig niet gevonden. 

Vragen

We hebben iedereen zo snel mogelijk op de hoogte willen brengen. Daardoor zijn er nog enkele vragen die in de eerste e-mail niet direct beantwoord werden. Hieronder geven we antwoord op de meest belangrijke vragen.

Om welke data gaat deze melding precies?

Binnen CRM bevindt zich de module Contactmomenten. Hier kun je o.a. handmatig verslag leggen van telefoongesprekken of e-mailconversaties. Ook worden momenten vastgelegd van het verzenden van bijvoorbeeld een Mailing of een online registratie.

Deze contactmomenten waren niet goed beveiligd waardoor derden, zonder in te loggen, toegang konden krijgen tot deze gegevens.
Je vindt de module Contactmomenten onder CRM (in het hoofdmenu) of via deze url [jouw_organisatienaam].procurios.cloud/contact_moment

Is het probleem inmiddels verholpen.

Ja, we hebben na het ontdekken van het incident het probleem snel kunnen verhelpen. Vanaf vrijdagochtend (1 mei) was het niet meer mogelijk dat derden toegang  konden krijgen tot contactmomenten.

Moet een beveiligingsincident zoals deze gemeld worden als datalek?

De pagina Meldplicht Datalekken van de Autoriteit Persoonsgegevens geeft veel informatie over de afwegingen die je moet maken of je een melding moet maken.

Als je geen contactmomenten gebruikt heeft dit beveiligingsincident voor jouw organisatie geen consequenties en hoef je dit niet te melden. Er kunnen zonder dat je er zelf bewust van bent ook contactmomenten worden vastgelegd. Controleer dat dus even zelf: [organisatienaam].procurios.cloud/contact_moment

Heb je wel contactmomenten, dan hangt het af vam het risico op schade voor de betrokken personen en of er aanwijzingen zijn dat er bij jouw organisatie misbruik is gemaakt van de kwetsbaarheid in de beveiliging. Tussen de veelgestelde vragen van Autoriteit Persoonsgegevens staat de vraag 'Hoe beoordeel ik de risico's van een datalek?'. Lees dit goed door, zodat je weet welk risico het datalek voor de relaties van jouw organisatie vormt.
Lees dan o.a. verder bij de vragen: 'Moet ik alle datalekken melden bij de autoriteit persoonsgegevens?' en 'Moet ik alle datalekken melden aan betrokkenen?'

Hoe groot schat Procurios het risico in voor betrokken personen door dit beveiligingsincident?

Dat hangt af van twee factoren: 

  1. Hoe groot de kans is dat er misbruik is gemaakt van dit incident.
  2. Hoe groot de impact is voor een persoon wanneer de data gelekt is.

Wat betreft het eerste: over de afgelopen 30 dagen kunnen wij in ieder geval zien dat er géén misbruik is gemaakt. Daarnaast, afgaande op de kennis die iemand nodig zou hebben om misbruik te maken van dit beveiligingsincident schatten wij de kans dat dit is gebeurd in op nihil.

Afhankelijk van de gegevens die opgeslagen staan in contactmomenten kan de impact voor een enkel individu echter wel wezenlijk zijn. Dit is aan de organisatie om te bepalen. Zie daarvoor de informatie hierboven.

Ik wil dit incident als datalek melden. Waar kan ik dat doen?

Je kunt een melding maken op de website van Autoriteit Persoonsgegevens.

Heeft Procurios zelf ook onderzoek gedaan naar mogelijk misbruik door derden?

We hebben in onze logboeken gezocht naar signalen om te achterhalen of er misbruik is gemaakt van deze mogelijkheid, deze hebben we gelukkig niet gevonden. 100% uitsluiten kunnen we het niet, maar we hebben niet kunnen aantonen dat er daadwerkelijk data aan onbevoegden is getoond en er zijn ook geen gegevens onbedoeld verwijderd.

Zijn álle contactmomenten toegankelijk geweest?

Nee, contactmomenten die als privé gemarkeerd waren konden niet door onbevoegden opgevraagd worden. (Dit is een feature die voor alle klanten geactiveerd is).

Is ook andere contactdata dan de contactmomenten toegankelijk geweest?

Nee, andere data is niet toegankelijk geweest. 

Hoe voorkomen jullie in de toekomst dergelijke datalekken?

Beveiliging is altijd een essentieel onderdeel van onze programmeer-werkzaamheden. Programmeren blijft echter mensenwerk waarin ook fouten worden gemaakt. We testen en monitoren ons platform continu, waardoor ook dit beveiligingsincident is ontdekt.

Waar kan ik in het weekend terecht voor meer informatie wanneer we besluiten dit incident te melden?

Een eerste melding moet binnen de 72 uur gedaan worden. Dit kan online bij de Autoriteit Persoonsgegevens met de informatie die je op dat moment beschikbaar hebt. Met deze FAQ hopen we je zo goed mogelijk op weg te helpen. Mocht er aanvullende informatie nodig zijn, dan kun je dat op een later moment aan je melding bij de Autoriteit Persoonsgegevens toevoegen.

Als je hiervoor onze hulp nodig hebt kun je dat via een ticket kenbaar maken. Tijdens kantoortijden zullen we je dan verder helpen.

Aanvullende vragen

Heb je na het lezen van bovenstaande informatie nog specifieke vragen dan willen we je vragen die aan ons te stellen via een ticket. We zullen daarop zo snel mogelijk reageren.

    Tags:
Hebt u meer vragen? Een aanvraag indienen
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0

Opmerkingen

Mogelijk gemaakt door Zendesk