Voorkom boetes

In dit artikel benoemen we enkele openbare voorbeelden van wat er mis kan gaan met contactformulieren. We beginnen met een artikel van de Autoriteit Persoonsgegevens. Dit is de instantie die toeziet op de naleving van de privacywet (AVG). Deze partij is ook bevoegd om boetes te geven. Soms worden deze boetes publiekelijk gedeeld. Zo ook in ons eerste voorbeeld.

Onveilig contactformulier van de orthodontist

Een orthodontie praktijk kreeg in 2021 van De Autoriteit Persoonsgegevens (AP) een boete van 12.000 euro. De praktijk kreeg de boete omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Lees het volledige artikel op de website van de Autoriteit Persoonsgegevens.

AP: Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite
AP geeft boete voor onbeveiligde website orthodontiepraktijk.

Per ongeluk gedeelde excel files met persoonsgegevens

Door het niet goed beveiligen van het proces van verzenden van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving op werk.nl is in de periode van 2016 tot 2018 is negen keer een Excel-bestand met persoonsgegevens bij onbevoegde ontvangers terechtgekomen. Het UWD kreeg daarom een boete van 450.000 euro van de De Autoriteit Persoonsgegevens (AP).

Reactie UWV op boete AP voor datalekken 2016-2018
Vandaag is bekend geworden dat de Autoriteit Persoonsgegevens (AP) aan UWV een boete oplegt van 450.000 euro voor het niet goed beveiligen van het proces van verzenden van groepsberichten via de zogenoemde Mijn Werkmap-omgeving. Hierdoor kon zich tussen 2016 en 2018 een reeks datalekken voordoen. Eind 2018, nog vóór de start van het AP-onderzoek, heeft UWV een technische maatregel doorgevoerd om te zorgen dat soortgelijke datalekken zich niet meer kunnen voordoen. Achteraf gezien had het voor de hand gelegen om eerder in te zetten op deze technische oplossing.

Overige publicaties

Omdat de meeste boetes niet openbaar zijn baseren we ons voor andere voorbeelden op openbare bronnen. We plaatsen graag een kanttekening bij deze publicaties. De voorbeelden zijn vaak van grotere organisaties, omdat deze vaker gepubliceerd worden. Dezelfde fouten worden vaker gemaakt bij kleinere organisaties, maar deze halen vaak niet het nieuws.

Datalek contactformulier Arriva

Dat het ook bij grotere organisaties fout kan gaan bleek in 2023 bij Arriva. Ook deze aanbieder van openbaar vervoer gebruikte een contactformulier op de website. Het bleek dat onbevoegden bij de gegevens van zo'n 195.000 klanten konden komen. Het betrof een datalek van emailadressen, namen, telefoonnummers en geboortedatums.

Bericht over datalek contactformulier website | Over Arriva
Op dinsdag 19 september 2023 heeft Arriva een datalek geconstateerd. Wij vinden het belangrijk jullie goed te informeren. Lees hier meer informatie.

Datalek formulieren leverancier VPRO
Het kan ook mis gaan als een derde partij de formulieren verzorgt voor een bedrijf. Zo verzorgde Qualifio de online (aanmeld) formulieren voor de VPRO. Het datalek is ontstaan door een update aan de server van Qualifio waardoor voor een aantal dagen onbevoegden toegang hadden tot een deel van de database met gegevens van Qualifio.

datalek
Onlangs is een datalek geconstateerd bij onze dataverwerker Qualifio. Onbevoegden hebben toegang gehad tot een database met gegevens van Qualifio. Het bedrijf heeft direct maatregelen genomen en het lek gedicht. Tevens zijn maatregelen genomen om een dergelijk incident in de toekomst te voorkomen. Middels onderzoek is in kaart gebracht dat het datalek voor de VPRO 3.800 contacten betreft.

Datalek excel met persoonsgegevens bij Heijmans
Bouwbedrijf Heijmans heeft door het onbedoeld versturen van een Excel-bijlage de privégegevens van 1800 mensen gelekt. Het ging om om adresgegevens, geboortedata, salaris en hypotheekmogelijkheden van mensen die in een woning geïnteresseerd zijn. In Zevenhuizen konden woningzoekenden zich inschrijven voor 54 koopwoningen.

Bouwbedrijf Heijmans lekt privégegevens 1800 personen via Excel-bijlage
Bouwbedrijf Heijmans heeft door het onbedoeld versturen van een Excel-bijlage de privégegevens van 1800 mensen gelekt. Het…

Hack mailbox Combinatie Jeugdzorg door phishing aanval

In 2024 zijn 10.000 e-mailadressen en e-mails gelekt van Combinatie Jeugdzorg in regio Eindhoven. Dit kon gebeuren door een hack van het e-mailaccount van een van de medewerkers. Het is nog niet duidelijk in hoeverre ook bijzonder of gevoelige informatie is gelekt.

Update datalek Combinatie Jeugdzorg | Combinatiejeugdzorg

Voorkom deze fouten met Form Knox

Dit soort datalekken (en de resulterende boetes) hadden voorkomen kunnen worden met de veilige formulieren van Form Knox.

  • Inzendingen van met Form Knox beveiligde formulieren zijn versleuteld en dus onbruikbaar voor hackers
  • Inzendingen worden niet opgeslagen in een mailbox, en kunnen daardoor niet worden gestolen als een mailbox wordt gehackt.
  • Inzendingen worden niet opgeslagen in de website, en kunnen daardoor niet worden gestolen als een website wordt gehackt
  • Inzendingen worden niet opgeslagen in een spreadsheet. Hierdoor kunnen de persoonsgegevens niet per ongeluk lekken via een bijlage in een mail.
  • Inzendingen worden automatisch verwijderd na het verstijken van de bewaartermijn. Hierdoor is de impact van een datalek altijd beperkt.

Is Form Knox iets voor U?

Ontdek binnen 3 minuten of uw contactformulier voldoet aan de AVG en voorkom boetes tot wel 4% van uw jaaromzet.

Doe de quickscan (3min)

Read more