Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 16, views: 7.565 •

De Belgische spoorvervoerder NMBS heeft de wet overtreden bij de opslag van persoonsgegevens, zo heeft de Privacycommissie geoordeeld. Het onderzoek is overgedragen aan het Brusselse parket; mogelijk komt er een juridisch onderzoek.

NMBSDe Privacycommissie heeft zijn onderzoek naar het datalek bij de NMBS afgerond en zal het overdragen aan het Brusselse parket. Dat betekent dat er gerechtelijke vervolging kan worden ingesteld naar het handelen van de spoorvervoerder.

Het is nu aan de procureur van het parket om al dan niet vervolging in te stellen, maar voor de Privacycommissie staat vast dat de NMBS de privacywet heeft overtreden. Zo waren de gegevens niet goed genoeg beveiligd; er was geen enkele vorm van encryptie toegepast en iedereen kon de gegevens opvragen. Daarnaast heeft de NMBS volgens de Privacycommissie, de Belgische equivalent van het CBP, een wetsartikel over de 'eerlijke en rechtmatige verwerking van persoonlijke gegevens' overtreden.

Het is volgens de voorzitter van de Privacycommissie, Willem Debeuckelaere, voor het eerst dat in België een onderzoek naar een datalek wordt doorgespeeld naar een gerecht. Dat zegt hij tegen de Belgische krant Het Nieuwsblad. Dankzij het lek waren de persoonsgegevens van 700.000 NMBS-reizigers toegankelijk. Daaronder waren gegevens van ministers, ambtenaren van de Europese Commissie, personeel van ambassades en het Amerikaanse ministerie van Buitenlandse Zaken.

Het datalek, dat zich voordeed bij de internationale tak van de spoorvervoerder, kwam in december aan het licht, toen een link naar de gegevens online werd geplaatst. Aanvankelijk deed de NMBS voorkomen dat de gegevens maar korte tijd online stonden, maar in werkelijkheid stonden de gegevens al 'vele maanden' onbeveiligd online. Een woordvoerder van de spoorvervoerder wil niet inhoudelijk reageren.

Reacties (16)

zouden ze hier in NL ook eens moeten doen. Te beginnen bij overheids websites...
Als er geen lek is geweest, wordt er niets onderzocht. Preventief onderzoeken op veiligheidslekken, is natuurlijk de beste oplossing. Dat heeft wel een kostenplaatje wat de meesten niet willen of kunnen betalen.
Rare gedachtenvorming; preventief iets doen kan (zeker in het begin) kostbaarder zijn dan achteraf duidelijke lekken dichten. Neemt niet weg dat de waarde van de privacy zo langzamerhand niets waard begint te worden.

Vraag een willekeurig voorbijganger of het eenmalig 5 euro mag kosten om zijn/haar bankrekeningnummer of paspoortnummer 100% veilig op te slaan of dat het 2.5 Euro mag kosten om zijn/haar gelekte gegevens weer achter een firewall/encryptie te zetten; ik denk dat hier wel een duidelijk antwoord op komt.

Daarnaast is het ook zo dat bij veel lekker de verantwoordelijke(n) niet eens meer gestraft kunnen worden. In een willekeurig CMS of website vinden over een bepaalde periode dusdanig veel wijzigingen/updates/patches plaats, dat uiteindelijk een lek niet meer naar een bepaald persoon of bepaalde opdracht kan worden herleid. Oh, een lek; snel dichten en de rest onder het tapijt vegen.
Geen enkele vorm van encryptie? Wie heeft dat in godsnaam gemaakt |:(
Dat is toch een van de basiselementen bij het houden van persoonsgegevens?
Tja, je zou eens moeten weten hoeveel amateurisme hier in BelgiŽ is op het vlak van ICT.

Er zijn bijvoorbeeld ook nog de genees"heren" die gewoon standaard mail accounts gebruiken om je privacygevoelige foto's en persoonlijke gegevens en dergelijke op te slaan en door te sturen naar collega's, ook zonder enige vorm van encryptie en zonder besef dat deze op heel gemakkelijke wijze kunnen worden onderschept en eventueel misbruikt. Naar mijn weten is het in de VS veel stricter gereguleerd en zijn encryptie verplicht bij zowel opslag van deze gegevens, als bij het versturen.

Daarnaast zullen er ook wel veel bedrijven en overheidsinstanties zijn die Dropbox en dergelijke toestanden gebruiken om gevoelige informatie op te slaan. Buiten het feit dat dit allesbehalve als veilig kan worden beschouwd, valt het ook nog eens onder Amerikaanse spionage wetgeving. Dit is in Noorwegen beter gereguleerd wat betreft overheidsinstanites, terwijl dat ze er in veel andere landen precies hun voeten aan vegen.
Vaak wordt alleen de wachtwoorden encrypt, als je ook de gegevens gaat encrypten is het moeilijker voor de marketing afdeling om inzicht te krijgen op hun klanten. Het grote probleem zit erin dat er geen waarde wordt gehouden aan hun klantengegevens en dat deze slecht beveiligd zijn. Zo heb je ook dat jaren lang anonieme gebruikersgegevens werden verzameld, die niet anoniem waren. Ze bevatte namelijk de postcode van de persoon en de geboortedatum, dat is niet anoniem meer.

Anonieme data helemaal niet zo anoniem als gedacht
Gaan ze zelf wel kunnen achterhalen wie het gemaakt heeft? Waarschijnlijk gemaakt door jobhobbers van een consultancybedrijfje dat bij de NMBS terplaatse samenwerkten met een mix van jobhobbers van andere consultancybedrijfjes en enkele vastgeroeste werknemers van NMBS.

Het moet snel, goedkoop en vooral nu... Voor de rest maakt het niet uit. Als het maar werkt.

[Reactie gewijzigd door biglia op 29 april 2013 10:28]

Volledig mee eens! Lang leve de uitbestedingopdrachten (lees: voor de goedkoopste).
Die uitbestedingsprocedure heeft duidelijk ook een nadelen!
Waarschijnlijk was dit lek al lang gemeld maar is het vermoedelijk genegeerd of blijven hangen in het logge apparaat van dit overheidsbedrijf.
Wie de lijst heeft aangemaakt is niet direct bekend, waarom de lijst is aangemaakt wel. De lijst met gegevens was bedoeld voor een externe firma die meewerkt aan de marketing van B-europe en helpt bij gepersonaliseerde mailinglijsten. Zij hebben dus toegang nodig tot de klanten van B-europe en blijkbaar vond iemand het een goed idee om de lijst gewoon via http op de website beschikbaar te stellen.

Spijtig genoeg heeft iemand ook de fout gemaakt om de link ooit aan een search engine te vertellen zodat deze lijst werd opgenomen in de index van die zoekmachine en later in andere zoekmachines zodat het bestaan uiteindelijk geen "geheim" meer bleef en iemand er toevallig op uitkwam.

De manier waarop de lijst beschikbaar werd gesteld is onvergeeflijk (waarom geen API of als je toch de lljst in zijn geheel wenst door te geven waarom dan geen secured ftp?) maar ook de reactie van de directie alsook de overheid was niet goed.

B-europe is in de fout gegaan en we kunnen alleen maar hopen dat de NMBS in het algemeen alsook andere bedrijven hier een les uit leren.
Daarnaast is het ook helemaal niet toegelaten om dergelijke databases op te stellen met persoonsgegevens (voor zover ik weet tenminste).
Het is jammer dat er niet bekend is welke gegevens openbaar zijn gemaakt, er zijn veel gegevens die treinmaatschappijen kunnen hebben.

Ze hebben toegang tot best wel veel gegevens:
- naam, geboortedatum, adres,... van mensen met een abo
- naam, rekeningnummer/bankkaart nummer van mensen die online een ticket gekocht hebben
- visakaart nummer van mensen die met visa tickets kopen

Maar als ze ook gegevens hebben van een OV-chipkaart, kan je daarmee zien dat bijvoorbeeld je buurman iedere dag om 8.20 de trein neemt en om 9.23 uitcheckt. Maar niet alleen je buurman maar ook Rutte of Jantje Smit. Vrouwen kunnen hun man opzoeken en misschien zien dat hij juist eerder klaar was op het werk, ipv dat hij moest overwerken.
Volgens wat ik lees op deredactie.be zijn het de namen, adressen en e-mailadressen van de reizigers die openbaar zijn gemaakt.
dat is wel bekend hoor. Het ging om namen, adressen, telefoon, gsm, geboortedatum (als ik het me even goed herinner), maar zeker geen ritten, bankgegevens, visa etc. Niet dat dit de nonchalance acceptabeler maakt...
Iemand had een tijdje een website online waarop je kon controleren of je bij de "slachtoffers" was. Bij mij was dat het geval, maar ik heb er mijn slaap niet voor gelaten. ;)
(EDIT: de bewuste website moest echter ook offline worden gehaald omdat dit-uiteraard-evenzeer een schending van de privacy was...)

[Reactie gewijzigd door chaola op 29 april 2013 11:40]

naar een gerecht :Y)
Waarom wordt amerika hier weer speciaal genoemd? Journalisten moeten eens ophouden als geile honden aan te rijden tegen het been van amerika. Er is blijkbaar de wereld...en amerika. Die obsessieve amerika-geilheid begint me de keel uit te hangen.

[Reactie gewijzigd door Vendar op 30 april 2013 09:12]

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Google Apple Games Politiek en recht Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013