Informatie naar aanleiding van recent LAVS beveiligingsincident

In maart 2017 heeft een software ontwikkelingsbedrijf tijdens haar werkzaamheden in het LAVS geconstateerd dat het zonder inloggen mogelijk was een projectdossier te downloaden uit het LAVS en heeft hiervan melding gemaakt. Het LAVS is na deze melding direct aangepast en het probleem is verholpen. Het LAVS kan veilig worden gebruikt.

We kunnen op dit moment niet in alle gevallen uitsluiten dat mogelijk onbevoegden toegang hadden tot de projectdossiers in de periode dat het beveiligingsincident bestond. De kans daarop achten wij zeer klein omdat hiervoor specialistische kennis van het LAVS nodig is die alleen bij betrokken gebruikers van het systeem aanwezig is en ons geen meldingen van misbruik bekend zijn.

Wij vinden het heel vervelend dat dit heeft kunnen gebeuren en werken in overleg met onze informatiebeveiligingsdienst en de betrokken leveranciers aan een zorgvuldige afhandeling. En informeren u uit voorzorg over dit beveiligingsincident.

Melding bij de Autoriteit Persoonsgegevens

Ondanks dat er geen aanwijzingen zijn van onbevoegde toegang tot projectdossiers en mogelijk misbruik van persoonsgegevens, is van dit incident melding gemaakt bij de Autoriteit Persoonsgegevens volgens de vigerende procedure in de Wet bescherming persoonsgegevens.

Onderzoek heeft aangetoond dat in bijna alle gevallen de projectdossiers door geautoriseerde gebruikers zijn gedownload in de periode dat het incident zich voordeed. Voor die gevallen kan worden uitgesloten dat de gegevens door onbevoegden zijn benaderd met mogelijk een inbreuk op de privacy. In enkele gevallen kunnen wij dit helaas nog niet uitsluiten. Onder deze omstandigheden is het nodig betrokkenen uit voorzorg te informeren over dit beveiligingsincident.

Gebruikers van het LAVS en de enkele particulieren die mogelijk geraakt zijn door het beveiligingsincident worden door ons persoonlijk benaderd.

Misbruik van persoonsgegevens

Een kwaadwillende zou misbruik kunnen maken van de persoonsgegevens. Ondanks dat formeel, als men een BSN wil gebruiken, elke organisatie behoort te vragen naar nadere identificatie (paspoort of door langs te komen). Wij adviseren mensen bij een vermoeden van een dergelijk misbruik contact op te nemen met het Centraal Meldpunt Identiteitsfraude en -fouten (CMI): Telefoonnummer: 088 - 900 10 00 (lokaal tarief).

Het is raadzaam alert te zijn op onregelmatigheden, bijvoorbeeld als u bericht krijgt van een overheidsinstantie waarvan u het niet verwacht (bijv. een aanvraag die u zelf niet heeft ingediend). Op de website Identiteitsfraude valt te lezen hoe misbruik van persoonsgegevens kan worden voorkomen.

Welke gegevens bevat een LAVS projectdossier?

Een projectdossier bevat zowel de gegevens van het object waar mogelijk asbest aanwezig is als ook de status van asbest in het object. Daarnaast bevat het dossier gegevens zoals naam, adres, emailadres en telefoonnummer van contactpersonen bij de betrokken bedrijven. In het geval van een particuliere opdrachtgever bevat een projectdossier de NAW-gegevens en tot voor kort het BSN van die particuliere opdrachtgever.

Extra maatregelen

Wij onderzoeken samen met onze leveranciers of extra technische maatregelen nodig zijn. Inmiddels is eind maart al wel met de release 4.1.1 de functionaliteit van de uitvraag van het BSN (sloopmelding) verwijderd. Daarnaast is inmiddels onderzocht of er vergelijkbare kwetsbaarheden zijn en die zijn niet gevonden.

Vragen

Mocht u vragen hebben dan willen we die graag beantwoorden. De LAVS helpdesk is op werkdagen telefonisch bereikbaar van 09.00 tot 12.00 uur en van 13.00 tot 16.30 uur op nummer 088 797 71 02 (optie 6).