Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 217 reacties
Submitter: nickurt

Netbeheer Nederland en Energie-Nederland maken bekend dat de energiedata van twee miljoen huishoudens in handen is gekomen van een energieleverancier die daar geen toegang toe zou mogen hebben. De data zou opgevraagd zijn door een werknemer van de leverancier.

Het gaat om gegevens zoals het jaarverbruik, type aansluiting, de einddatum van de contracten en adresgegevens. De gegevens staan geregistreerd in een centraal register. In een persbericht spreken de verenigingen van 'vermoedelijke' diefstal, maar ook laten ze weten dat er melding van diefstal is gedaan bij de Autoriteit Persoonsgegevens. De gegevens zijn in handen gekomen van een energieleverancier. Welke dat is, noemen de organisaties niet.

Martijn Boelhouwer, woordvoerder van Netbeheer Nederland, laat aan Tweakers weten dat een medewerker van de energieleverancier de data van twee miljoen huishoudens heeft opgevraagd via een systeem. De betreffende medewerker zou dergelijke data mogen inzien, maar had nooit een dergelijke hoeveelheid gegevens moeten opvragen. "Het is onacceptabel dat deze persoonsgegevens op deze manier zijn opgevraagd", stelt directeur André Jurjus van Netbeheer Nederland in het persbericht.

Omdat de medewerker misbruik heeft gemaakt van zijn mogelijkheid om gegevens uit het centrale register te raadplegen, heeft Netbeheer Nederland de betrokken energieleverancier de toegang tot het systeem op dit moment ontzegd. De energieleverancier zegt dat de diefstal door één medewerker is gepleegd, die inmiddels niet meer voor het bedrijf werkzaam is.

De betreffende energieleverancier zou volgens de netbeheerders de data kunnen gebruiken om aanbiedingen voor energiecontracten per post te sturen. De netbeheerders hebben geëist dat de leverancier de data die het in bezit heeft gekregen vernietigt, daarover loopt op dit moment een kort geding.

Update 20.08 uur: Toelichting van woordvoerder Netbeheer Nederland toegevoegd.

Gerelateerde content

Alle gerelateerde content (19)
Moderatie-faq Wijzig weergave

Reacties (217)

Het wordt tijd dat de overheden hier eens regels gaan opleggen en handhaven. Laat de RvB maar eens aantonen dat hun veiligheidsbeleid op orde was. Beleid t.a.v. toegang gegevens van medewerkers bijv. Zo niet dan forse straffen uitdelen.

In algemene zin hebben commerciële partijen te veel belang om persoonsgegevens te bewaren. Als je klant af bent bij een partij, dan is er ook geen noodzaak voor het bewaren van persoonsgegevens. Hiervoor zou bijv. toestemming gevraagd moeten worden. Het bezitten van persoonsgegevens, ook gegevens die herleidbaar zijn tot een persoon zoals ip adres, zou zonder toestemming zou strafbaar moeten zijn. Als je een jaar niet inlogt op een site dan moeten de gegevens vernietigd worden. etc. Overheden zijn overal goed in om regels op te stellen maar bij het beschermen van personen op internet schiet het echt te kort.
Die regels zijn er sinds begin dit jaar en worden gehandhaafd. Wat niet overal bekend is, is dat naast het verplicht melden -want daar gaat het om- ook bij een lek gekeken wordt hoe deze data toegankelijk was en of bijvoorbeeld het opvragen wordt gelogd en of de data versleuteld is opgeslagen.
Dat deze regels veel te laat gekomen is voor mij een feit, in het verleden werd er te vaak te makkelijk gedacht. Maar de huidige boetes die AP mag en kan opleggen liegen er echt niet om hoor zie pagina 1 & 2; https://www.autoriteitper..._van_15_december_2015.pdf

Als uit onderzoek blijkt dat hier echt in de opzet grote fouten zijn gemaakt dan zal dit ook bij het bedrijf in de boete meegerekend worden.

Ik ben alleen bang dat deze boetes wel weer uiteindelijk betaald worden door de consument.
Tja, maar als LinkedIn zijn db met 100 miljoen logins erin lekt dan is er nog steeds geen reden om een boete op te leggen blijkbaar... Ondertussen wordt LinkedIn voor miljarden gekocht door MS.

Deze viel mij ook vooral op:
"Het is onacceptabel dat deze persoonsgegevens op deze manier zijn opgevraagd", stelt directeur André Jurjus van Netbeheer Nederland in het persbericht.
Ha ha ha wat een sukke... wacht... directeur André Jurjus... mmm

Ok dus je hebt je beveiliging zo goed op orde dat als iemand in bulk de data van twee miljoen huishoudens opvraagt dat je die gegevens dan gewoon verstrekt... waarna je de aanvrager de schuld geeft?? :?

Als ik die redenering even doortrek naar banken:
Directeur ING nadat ten onrechte 100 miljard aan een medewerker van een andere bank is uitgekeerd: 'Het is onacceptabel dat deze tegoeden op deze manier zijn opgevraagd!'

Enneh... kun je nagaan hoeveel data er was gelekt als al die huishoudens al smart energiemeters hadden??! Zo'n ding komt er bij mij niet in. Als ze hem straks uit zichzelf willen komen vervangen bij mij ga ik zorgen dat ik steeds niet thuis ben. Hou dat ding maar lekker zelf want ik deel die data liever niet.
In een grote organisatie heb je nu eenmaal werknemers met bepaalde rechten die daar contractueel en ethisch geen misbruik van behoren te maken. Maar mensen zijn mensen en af en toe zit er eentje tussen die dat bewust of onbewust toch doet. Zolang we niet weten of er opzet in het spel is, zullen we op zijn minst deze persoon het voordeel van de twijfel moeten geven. Het kan best dat de data direct na ontvangst al zijn vernietigd bijvoorbeeld.

Hoe dan ook, waar mensen werken worden fouten en misbruik gemaakt. Iedereen maakt wel een keer misbruik in zijn leven. In het ene geval heeft dat meer mogelijke gevolgen dan het andere maar het principe blijft gelijk. Laten we eerst rustig afwachten tot er meer duidelijkheid is wat er daadwerkelijk met die gegevens is gebeurd voor we mensen aan de schandpaal nagelen.

Wat je laatste opmerking betreft: je hoeft je niet te verstoppen. Als er mensen voor de deur staan van de energiemaatschappij om de meter te vervangen dan weiger je ze simpelweg de toegang. Ik kan mij niet voorstellen dat er in deze situatie ook maar een wet is die toegang tot je woning kan afdwingen. En afsluiten mag ook echt niet zomaar dus ga er maar van uit dat de energiemaatschappij aan het kortste eind trekt.
Zolang we niet weten of er opzet in het spel is, zullen we op zijn minst deze persoon het voordeel van de twijfel moeten geven.
Hoezo moeten we weten of er opzet in het spel is? Wat verandert dat?

Het gaat namelijk helemaal niet om de persoon die in het invul formulier op de site een sterretje heeft getyped bij het 'search filter' veld en toen op download heeft geklikt.

Waar het om gaat is dat meneer Jurjus, die de directeur en dus eindverantwoordelijke over deze data is, net doet alsof het niet aan zijn organisatie ligt en hoe (niet) serieus men beveiliging daar neemt, maar aan dat ene poppetje dat er misbruik van heeft gemaakt.
Het is onacceptabel dat deze persoonsgegevens op deze manier zijn opgevraagd
Uit deze zin blijkt heel duidelijk dat meneer Jurjun vindt dat het niet hun schuld is, maar die van de opvrager. Dit is natuurlijk de omgekeerde wereld.

Ik hoef dus niet te weten of er opzet was, want ik hoor duidelijk dat Jurjun het probleem niet serieus neemt, op anderen probeert af te wentelen, er geen verantwoordelijkheid voor neemt en geen voorstellen heeft om de beveiliging te verbeteren zodat dit soort hoeveelheden data simpelweg niet meer verstrekt worden.

Oftewel het is wachten op het volgende lek.
Dat hij het onacceptabel vindt dat deze gegevens zijn opgevraagd betekent helemaal niet dat hij een ander de schuld geeft. Dat is jouw interpretatie. Op dit moment heeft er nog niemand de schuld omdat nog niet alle feiten op tafel liggen. Als alle feiten bekend zijn en in perspectief zijn geplaatst dán pas mogen we met een vingertje gaan wijzen.

[Reactie gewijzigd door 2fish op 13 september 2016 22:28]

Reken er maar op dat deze woorden zorgvuldig gekozen zijn om de zaken in een bepaald frame te plaatsen... Eén waarin de schuldvraag wijst richting degene die de gegevens heeft opgevraagd en niet naar de verstrekker.
Dat is jouw interpretatie
Niet alleen de mijne maak ik uit de vele andere reacties hier op.

En al was dat zo. Ik verwacht van deze directeur dat hij een duidelijk signaal afgeeft: Dit had niet mogen gebeuren. Deze data hoort veel beter beschermd te worden. We gaan maatregelen nemen om dit in de toekomst te voorkomen. Dat soort taal.

Als hij met één of andere vage afschuiverige draai-reactie komt dan neem ik hem dat kwalijk. Hij kiest zijn woorden zelf. Of onzorgvuldig, of bewust manipulatief. In beide gevallen laakbaar wat mij betreft.
Een van mijn belangrijkste principes is om pas te oordelen als er genoeg feiten zijn die om een oordeel vragen. M.i. zijn er nog niet genoeg feiten bekend.

Het centrale register waarover wordt gerept bestaat natuurlijk om een reden. Er zijn ongetwijfeld mensen die daar toegang toe hebben. Anders dient het register natuurlijk geen enkele functie. Als iemand met toegang hier misbruik van maakt dan kan de beheerder van dat register daar ook niet zoveel aan doen.

Er zijn m.i. meerdere scenario's mogelijk:

1. De beheerder is nalatig en laks in het screenen en toelaten van medewerkers van energiebedrijven. Directeur moet met de billen bloot.
2. Degene die ingelogd heeft, is volgens de richtlijnen gescreend en heeft met opzet ingelogd om aan de gegevens te komen. Medewerker moet met de billen bloot.
3. Degene die ingelogd heeft, heeft per ongeluk alle data binnengehaald en deze na downloaden per direct weer gewist. Misschien is het systeem gewoon slecht ontworpen. Beheerder mag uitleg geven.
4. Beheerder is te laks en medewerker heeft daar misbruik van gemaakt. Beide partijen moeten met de billen bloot.
5. Er blijkt een journalist aan het werk te zijn geweest die zijn werk binnenkort op Net 5 presenteert. Misschien wel dezelfde man die ook een bom (zonder ontsteking) het vliegtuig in heeft weten te smokkelen op Schiphol via de achterdeur. Nieuw schandaal erbij.

Punt 5 is misschien wat ver gezocht maar laat ik het zo zeggen: wat mij betreft kan het verhaal nog alle kanten op.
Er even van uitgaande dat punt 5 inderdaad wat vergezocht is, snap je natuurlijk zelf dat dit allemaal gewoon de doofpot in gaat en wij als gedupeerden (ja het betreft gegevens van ons als consument) hier de details nooit van gaan horen.

Het principe werkt eenvoudig...ons systeem is onvoldoende beveiligd (feit, want niemand heeft de gegevens van 2 miljoen huishoudens ineens nodig). De beheerder legt de schuld bij de energieleverancier neer (feit: ja had niet gemogen, maar het was wel mogelijk). Die noemen ze niet bij naam, natuurlijk niet want dan krijg je van hen een aanklacht aan de broek. Dan zeg je dat er bij die maatschappij het een 'foute' medewerker betreft en uiteraard werkt die er niet meer. En de consument moet maar genoegen nemen met een mooi verhaaltje.

Ik ben het met je eens dat we niet alle feiten kennen. We kunnen in dit geval dan ook niet oordelen over het aandeel van de energiemaatschappij of de medewerker daarvan hierin. Wat we wel weten is dat het opvragen van een dergelijke hoeveelheid data niet nodig is en bij gevoelige (persoonsgegevens) zoals dit het om die reden simpelweg niet mogelijk zou moeten zijn.
Welk scenerio het ook is van hierboven, het komt er toch altijd op neer dat inderdaad enorme aantallen sets gebruikersgegevens in één klap opgevraagd kunnen worden door een klant van Netbeheer Nederland? Hoe je het ook wendt of keert, dan kun je toch niet doen alsof er veel moeite gedaan is om de toegang te beveiligen.
Zoals ik uit de informatie opmaak is het vooral handig voor callcenters/deur-aan-deur verkopers die 'goedkope' energiecontracten pushen
Als iets niet de bedoeling is dan ben je in beginsel als leverancier verplicht om het niet mogelijk te maken.
Uit deze zin blijkt heel duidelijk dat meneer Jurjun vindt dat het niet hun schuld is, maar die van de opvrager. Dit is natuurlijk de omgekeerde wereld.
Mwah. Als ik de achterdeur naar mijn huis open laat en snel even de kinderen ophaal uit de speeltuin. Bij thuiskomst is mijn huis leeggeroofd. Ben ik dan schuldig? Ja in die zin dat ik laakbaar ben aangezien ik de deur open heb laten staan. Los daarvan moet je gewoon van andermans eigendom afblijven.

Dat gaat hier natuurlijk niet helemaal op. De achterdeur stond open, maar degene die toegang had, had legitieme toegang. Hij mocht bij de gegevens. Het kader dat er een max aan gesteld had moeten worden, ligt bij de heer Jurjus. De medewerker die toegang had, had echter ook naar eer en geweten moeten werken. En als z'n voormalig werkgever enig gevoel voor rechtvaardigheid heeft, worden de gegevens vernietigd.
ls ik de achterdeur naar mijn huis open laat
Even een meer passende vergelijking. Als je het beheer van een flatgebouw onder je hoede hebt, waarin 2 miljoen mensen wonen en je laat dan de achterdeur open staan en alle 2 miljoen appartementen worden leeggeroofd... Ga je dan zeggen 'ja maar die dief had daar ook niet in gemogen he'?

Wat die man met zijn eigen data doet moet hij zelf weten maar hij moet wel goed op de data van andere mensen passen die aan hem is toevertrouwd.
Iemand die de achterdeur van zijn eigen huis vergeet dicht te doen vergelijk je nu met iemand wiens betaalde baan het is om een register te beheren, met gevoelige, waardevolle data van alle huishoudens in NL, waarvoor hij mensen in dienst heeft en andere bedrijven met expertise in kan huren.
blijkbaar is de werknemer al weg (ontslagen zoniet zelf weggegaan, niet relevant)

wie zegt dat het niet op z'n harde schijfje of usb-stick staat

wat het juist zo eng maakt dit (halve) bericht is dat dat niet duidelijk is wat er is gebeurd of wat ie heeft, al dan niet met kwaaie bedoelingen

dat halfbakken gedoe baart zorgen, niemand heeft enig idee wat er gebeurd is of heeft enige controle over hun netwerk, dat maakt het eng, tot die tijd hou het maar gewoon op 'gestolen' en 'misbruik' want echt normaal is dit niet

[Reactie gewijzigd door Rebels op 14 september 2016 05:15]

Lijkt me dat het de database/register van EDSN betreft. Zie http://edsn.nl

Hierin staan alléén type aansluiting, jaarverbruik, einde contract-datum en postcode en huisnr (Als locatiebepaling van de aansluiting(en), vandaar ook de opmerking over het benaderen 'per post' als enig mogelijk gebruik van de 'gestolen' data).

In deze database staan dus géén verdere persoonsgegevens als naam, tel.nrs of e-mailadressen.
Ook geen meternummers of type meters, slimme-meter gegevens staan er dus ook niet in.
Dat soort data kan simpelweg dus ook niet zijn 'gestolen'. (Gestolen tussen haakjes omdat de database vrij benaderbaar is voor werknemers van energiebedrijven).

[Reactie gewijzigd door Baserk op 13 september 2016 22:30]

Nog preciezer, waarschijnlijk gaat het om het C-AR (Centraal Aansluitingen Register). In 2013 zijn veel netbeheerders aangesloten op het C-AR.

http://www.deenergiegids....nsluitingen-Register.aspx
https://www.cginederland....rdelen-voor-netbeheerders

[Reactie gewijzigd door Thrace Grumble op 14 september 2016 08:16]

Hierin staan alléén type aansluiting, jaarverbruik, einde contract-datum en postcode en huisnr
Nu nog wel ja, want nu hebben ze alleen nog het jaarverbruik. Gegevens die ze niet hebben kunnen ze niet lekken he. Maar wacht maar over 10 jaar, als de slimme meters overal hangen. Wedden dat er dan complete verbruiksprofielen in staan?
Ik vind het als mijn data ertussen zou zitten niet zo heel erg, de energie mafia komt zelf opdringerig en ongevraagd elke keer aan de deur.

Maar alsnog moet een bedrijf de beveiliging rondom de data goed op orde hebben, ook de verstrekking.
In het centraal aansluitregister bij EDSN staat in dezelfde communicatie als waar het jaarverbruik in staat ook of het een slimme of domme meter betreft. Echter niet exact welk type.
Ik heb de tekst nu 3 keer gelezen en ook op andere media gekeken, maar het gaat niet alleen om slimme meters, althans dat maak ik nergens uit op.
Het gaat om zoals ik het lees om -vertrouwelijke en persoonlijke- data bij wie jij je stoom afneemt en tot wanneer jij een overeenkomst hebt en met wie.
Dus misschien sta jij met je 'oude' meter er wel bij en ik met een slimme niet. Maar dat blijft nu gissen, het kan net zo goed een exportje zijn van klanten die + 500 Euro per maand aan energiekosten hebben, maar om nu te roepen dat dit te maken heeft met een 'slimme' meter is iets te makkelijk en nergens -tot op dit moment- op gebaseerd.
om nu te roepen dat dit te maken heeft met een 'slimme' meter is iets te makkelijk en nergens -tot op dit moment- op gebaseerd.
Het gaat er om dat er (nog steed wat mij betreft) een discussie gaande is over de privacy gevaren van slimme meters. Nu komt aan het licht dat er van 2 miljoen huishoudens verbruiksgegevens gelekt / gestolen zijn.

Punt dat ik en andere hierover maken is: Gelukkig dat er nog bijna geen slimme meters bij mensen thuis hangen! Want dacht je nu werkelijk dat die gegevens dan ineens wel super beveiligd zouden worden?

Dit incident toont aan dat de gegevens momenteel onvoldoende beveiligd zijn. Vandaar dat ik (en anderen) geen slimme meter willen want wij vertrouwen de beveiliging van onze gegevens niet. En zo'n slimme meter genereert honderdduizend keer zoveel privacy gevoelige data over mij dan de oude methode waarin alleen jaarverbruik wordt bijgehouden.

Net zoals je na Fukushima goede redenen hebt om vraagtekens te stellen bij het bouwen van nog 2 nuceaire reactors in NL, ook al gaat het dan wellicht om een ander type reactor en ander type brandstof etc... kun je n.a.v. dit incident vraagtekens stellen bij slimme meters.
In het centraal aansluitregister bij EDSN waar het hier inderdaad om gaat, staat alleen OF de aansluiting een slimme meter heeft. Meetdata ontbreekt.

In het contract einderegister staat alleen een einddatum en niet bij welke leverancier je nu zit.
En het mooiste is toch wel dat de slachtoffers het nakijken hebben, en de daders een zwart balkje over hun naam krijgen om ze te beschermen tegen... Ja wat eigenlijk?

Wel typisch Nederland.
Enneh... kun je nagaan hoeveel data er was gelekt als al die huishoudens al smart energiemeters hadden??! Zo'n ding komt er bij mij niet in. Als ze hem straks uit zichzelf willen komen vervangen bij mij ga ik zorgen dat ik steeds niet thuis ben. Hou dat ding maar lekker zelf want ik deel die data liever niet.
Je mag hem gewoon weigeren:
https://www.rijksoverheid...ord/slimme-meter-weigeren
Enneh... kun je nagaan hoeveel data er was gelekt als al die huishoudens al smart energiemeters hadden??! Zo'n ding komt er bij mij niet in. Als ze hem straks uit zichzelf willen komen vervangen bij mij ga ik zorgen dat ik steeds niet thuis ben. Hou dat ding maar lekker zelf want ik deel die data liever niet.
Je kunt het op afstand uitlezen van je slimme meter gewoon weigeren, dan wordt het communicatiegedeelte van de meter gewoon uitgeschakeld en functioneert het gewoon als een normale digitale meter.
Ik snap software bouwers niet. Zijn die soms achterlijk? Hoe kan je het in je software toestaan dat iemand gegevens opvraagt zonder dat je eerst checkt om hoeveel records het gaat?

Als je nadenkt over autorisaties dan kom je toch in je team op het idee dat er een bulk-check moet zijn? Dat iemand ineens maximaal 50 records mag opvragen en daarboven moet ie iemand bellen voor toestemming? En dan moet ie een verdomd goede reden hebben.

Dat soort beveiliging bouw je toch in, in je software? Degene die deze systemen heeft gebouwd moet aan zijn pik opgehangen worden.
---------
Ik wil ook geen slimme meter. En ik heb het document gelezen waarin alles staat over de beveiliging. En hoe goed alles op papier ook er uit ziet, het is gewoon een illusie en zelf-deceptie te denken dat links- of rechtsom er niet iets fout zal gaan.

Of ik de keuze heb de slimme meter te weigeren? Nee, Ik denk dat mijn woningbouwvereniging geen zin heeft in uitzonderingen. Dat kost geld, want dan kan de installateur niet dom van woning naar woning gaan en rekenbing houden met die wel, die weer niet. Uitzonderingen kosten geld. En als ik het goed begrijp is de politiek, de woningbouwvereniging via haar koepelorganisatie en de netbeheerder en de leveranciers allemaal gebroederlijk het er over eens dat de afspraken die zijn gemaakt voor iedere Nederlander afdoende beschermingen bieden. Dus, STFU!

Ik maak me geen illusies dat als ik de meter weiger, ik bedreigd zal worden door mijn woningbouw, dat er juridische stappen van komen. Dat ik zal opdraaien voor de kosten als ik na uitspraak van een geschillencommissie of rechter toch zo'n ding moet accepteren.

De meeste mensen die niet willen worden zo wel gemobbed en ge-bullied.
Je kunt toch zelf software maken die steeds één record opvraagt en in een lus een eigen database vult? Ik vermoed dat het zo gegaan is.
Het gaat hier -niet- om een lek. Het gaat hier om normaal gebruik van het Centraal Aansluitingen Register.

De échte fout is : als de leverancier geen toegang hoort te hebben tot de aansluitingen, zou hij deze ook niet mogen kúnnen opvragen.
Kennelijk heeft de medewerker misbruik gemaakt van een gebrek in het C-AR, wat hij vermoedelijk in opdracht heeft gedaan. (medewerkers die registers afstruimen zijn doorgaans niet de medewerkers, die sales/werving doen)

De hele semantiek van de 'diefstal' is grof fout. Het is geen diefstal, maar misbruik en de referentie naar reclame sturen; ja, dat kan iedereen.

"De netbeheerders hebben geëist dat de leverancier de data die het in bezit heeft gekregen vernietigt, daarover loopt op dit moment een kort geding." - Lekker zinloos geld uitgeven; je gaat nooit weten of het geheel weg gehaald is. Klinkt eerder als een verantwoordelijkheidsafschuiving (Netbeheerders beheren echter (niet meer) het register)
Het gaat hier -niet- om een lek. De échte fout is : als de leverancier geen toegang hoort te hebben tot de aansluitingen, zou hij deze ook niet mogen kúnnen opvragen.
De leverancier kon gegevens opvragen waar hij eigenlijk niet bij mocht, en/of in hoeveelheden die hij eigenlijk niet mocht opvragen...

Klinkt als de definitie van een lek en niet als 'normaal gebruik'.

[Reactie gewijzigd door OddesE op 15 september 2016 14:38]

Ja, eigenlijk zei ik het verkeerd. Het gaat hier niet om diefstal.
Nogal wiedes dat je alle markt-gerelateerde data probeert te verzamelen als je omzet afhankelijk is van 'blinde' prognoses.
De grootste winst voor bedrijven zit hem niet in de reclame (domme opmerking netbeheerders), maar in het vermogen beter te kunnen voorspellen.
Het blijft sowieso dom dat de voorspellingen niet op 1 hoop gegooid worden, zodat -iedereen- voordeliger uiteindelijk is.
Privatisering van sommige zaken is gewoon ontzettend dom. Energie sector is niet anders.

De fout zit bij het C-AR en EDSN. Als er iemand de pijn moet voelen, zijn het die mensen.
Opmerkelijk, ik heb ruim 1,5 jaar geleden een voorstel ingediend bij Netbeheer Nederland (via een van de grootste leveranciers) om dit te voorkomen op een geautomatiseerde manier, zonder dat rechtmatige toegang vertraagd zou worden. Ik heb ook toen risico's aangegeven en hoe deze eenvoudig te mitigeren zijn, met kennis die de netbeheerder heeft.

Jammer dat dit blijkbaar niet is geïmplementeerd.

---
Opmerkelijk ook dat men van diefstal spreekt. Zijn er gegevens verdwenen (ontvreemd)? Het lijkt mij dat netbeheer Nederland deze gegevens zelf verstuurd heeft via hun API.

Opvallend 1/4 van de huishoudens van Nederland, in hoeveel tijdsbestek? En hoeveel % was geen klant van de leverancier?

--
Mocht Netbeheerder Nederland als nog interesse hebben in m'n oplossing, dan hoor ik het graag.
Opmerkelijk, ik heb ruim 1,5 jaar geleden een voorstel ingediend bij Netbeheer Nederland (via een van de grootste leveranciers) om dit te voorkomen
Dat lijkt me behoorlijk relevant! Kun je een fragment uit dat voorstel delen? Executive summary of zo?
Raar dat iemand die stelt een voorstel aangeboden te hebben zonder enige details +3 krijgt en jij een 0 omdat je vraagt naar wat hij dan precies heeft aangeboden. Van mij dus +3 omdat je terecht kritisch bent.


Ik heb overigens in 2006 een mailtje naar de 2e kamer gestuurd met een voorstel dat de crisis op de huizenmarkt voorkomen zou hebben. Details geef ik voor het gemak niet. True story.
Er zullen zo dagelijks een heleboel email en brieven verstuurd worden met aanbevelingen.
De meeste wordt niets mee gedaan en dan kan iemand achteraf roepen ja kijk maar ik heb er op gewezen.

In dit geval het opvragen van 2 miljoen gegevens lijkt het me dat de basis van het systeem gewoon niet klopt. Iedere domme programmeur van dit systeem moet kunnen bekenden dat je niet zo veel gegevens in 1 keer of zelfs door 1 persoon over een periode van x maanden zou moeten kunnen opvragen.

Heel eenvoudig. Vraag iemand meer dan zeg 1000 gegevens per jaar op dan wordt het account automatisch geblokkeerd en moet het vrijgeschakeld worden. Ik noem 1000 maar er zal vast een gemiddeld cijfer zijn dat men kan opvragen.

Het laat eigenlijk ook wederom zien dat overheid en ict niet hand in hand gaan en dit gewoon beginnersfouten zijn. Als mensen toegang hebben moet er controle op zitten.
Heel hoog over.
  • Per aansluiting maximaal aantal pogingen tot ophalen gegevens per dag.
  • Bij informatie aanvraag dient huidige stand opgegeven te worden.
  • Bij switch vervallen alle inkijkrechten.
Devil is in de details: dat zijn de manier hoe dit gevalideerd wordt en nog wat extra regels.

Regels/Proces zijn toen ook bekeken door IT Jurist. Was in het de tijd toen er bedrijven waren die zonder toestemming slimme meters uitlazen, maar zeiden toestemming te hebben. Dit was ook daarvoor de oplossing. Netbeheer Nederland wilde toen niet omdat ze die validatie (is het de juiste persoon die het aanvraagd) bij de afnemers van de data wilde laten liggen. Dat terwijl alleen de netbeheerder of ESDN dit technisch geautomatiseerd kunnen doen.

En ook alleen zij kunnen data levering direct stoppen.

---
Ik twijfel of ik het systeem nu zelf zou gaan bouwen in de cloud en dan gewoon aan gaan bieden aan die partijen ter vervanging van de huidige services.

Wordt het direct ook veel sneller en schaalbaarder :)

[Reactie gewijzigd door djwice op 14 september 2016 14:07]

Laat me raden: Het is het nu een api zonder rate-limit, en een rate-limit van 1 aanvraag per x secondes met een maximum aantal per dag, is een goedkope oplossing, waar niemand in de praktijk last van heeft, maar het hoarden van data voorkomt?
Kan ook dat je een captcha moet oplossen voor je data mag opvragen.
Dat vind ik niet. pvcholten noemt een oplossing waar je bij legitiem gebruik van de portal geen last van ondervindt. De oplossing die jij noemt maakt het voor iedereen lastiger om de data op te halen omdat er nog een captcha opgelost moet worden, ook voor de mensen die de toegang zo gebruiken als hij bedoeld is.

Het idee van pvcholten kun je ook aanvullen met een max aantal per dag, zodat je niet alsnog geautomatiseerd iedere 5 seconden een pakket gegevens kunt opvragen (= alsnog de gegevens van ruim 17k personen per dag). Of onbeperkt van eigen klanten en zeer beperkt van klanten van andere leveranciers (alleen de overstappers bijvoorbeeld).

Ik vind het schandalig dat dit mogelijk is (geautomatiseerd) en dat ze zelf niet bedenken dat er iemand een keer onrechtmatig gebruik gaat maken van die data. Ik vraag me zelfs af of het illegaal is wat hier gebeurd is. Het is wellicht niet de bedoeling, maar blijkbaar mogen leveranciers al data opvragen van consumenten die geen klant bij ze zijn en ik betwijfel of er een maximum aantal aanvragen is vastgelegd. Zonder 'fair use'-achtige regels kan het zomaar zijn dat het wellicht extreem is wat deze medewerker deed, maar dat Netbeheerder Nederland hier toch echt de hand in eigen boezem moet steken.

[Reactie gewijzigd door Grrrrrene op 14 september 2016 07:36]

Het dient primair niet voor het gemak van het ophalen van data maar voor een redelijke beveiliging die iedereen mag verwachten op dergelijke API's

Dus primair = zorgvuldig omgaan met gegevens
secondair = correcte informatie verwerken.
en ergens aan het eind bungelt evt. gebruiks gemak.
Je mist mijn punt: als je twee oplossingen hebt die exact hetzelfde bewerkstelligen, kies je als er verder geen verschillen zijn, voor de oplossing met het meeste gebruiksgemak.
Wat je met captchas wel bereikt, is dat het onmogelijk wordt om nog creatiever te werk te gaan en bijvoorbeeld voor 1000 man een login aan te vragen en die logins te gebruiken om volledig gescript 5x per dag gebruikersgegevens op te vragen.
Als je dat nodig hebt voor de beveiliging moet je jezelf achter de oren gaan krabben waarom je 1000 logins afgeeft aan een partij die toegang tot jouw DB nodig heeft :)
Het is ook absurd maar als er geen limiet op het aantal queries zit zou het me ook niets verbazen als er geen limiet op het aantal gebruikers dat een klant mag aanmaken zit ;)
Dat zeg ik dus... Gebruiksgemak is niet punt een op de wensenlijst mbt. privacy gevoelige gegevens.
Het is dus het laatste puntje op de wensenlijst. Dus als twee oplossingen hetzelfde doen m.b.t. preventie misbruik, beveiliging, bewaking, monitoring, correctheid, .... dan kan als laatste gebruiksgemak vermeld worden. Je hoeft niet een onhandige procedure te maken als de primaire zaken maar (preventief) geregeld zijn.
Niet om vervelend te doen maarre...wie ben jij dan helemaal? Gewoon een bezorgde burger? In dat geval, deflatteer je ego: bedrijven luisteren niet naar welwillende burgers met hun ad-hoc ideetjes en voorstelletjes.

Zit je in die handel? Misschien, als je baas achter je staat, zou er misschien, mogelijk ooit, als schapen grazen op de Maan, naar je geluisterd worden. De ideeën bus op je kantoor wordt standaard geleegd in de papier container. Je e-mail naar een daartoe bestemde maildoos is een nill-void situatie, of komt op het bureau van een alien ertgens in de Pleiaden, die geel aanloopt, een zure stank walmt en in rare tekens op delete drukt omdat die idote aliens van Aarde hun netwerkconfiguratie niet op orde hebben.

Ik ken iemand te Schiphol. Die verzon ook systemen en ideeën. Die heeft hemel en aarde bewogen om aan te tonen dat zaken eenvoudiger en beter konden. Uiteindelijk kreeg ie zijn baas om, die ging lobbyen op een hoger niveau. En dan duurt het een aantal jaar en dan krijgt ie toestemming voor een projectje.

Wie luistert tegenwoordig nog? De bovenbazen zijn arrogant. En achterlijk. En dom. En stom. En zo voorts en zo verder.
Het hoort ook niet mogelijk te zijn om gegevens op te vragen van aansluitingen, die niks met jou te maken hebben.
Je kan bijvoorbeeld wel alle historische gegevens opvragen, als je ooit verantwoordelijk bent geweest bij een aansluiting.

Het was me wel eens opgevallen dat er iets teveel informatie beschikbaar was, maar niet voor zoveel aansluitingen.
Hoogstwaarschijnlijk is er iets fouts gegaan met een nieuwe versie en proberen ze de schuld hiervan af te schuiven. (de meeste systemen waren tamelijk verouderd en ze zaten/zitten in een traject om alles beetje op orde te halen)

Dit hele artikel ruikt naar verantwoordelijkheidsafschuiving
Het is niet netjes om iets te 'kopieren-plakken' zonder de bron erbij te vermelden. Nu doe jij alsof jij de schrijver bent van dat stuk, terwijl het gewoon letterlijk van Wikipedia is gehaald. Simpelweg plagiaat.
Dit hele nieuwsbericht geeft toch juist aan dat het register goed wordt bewaakt? Ik denk dat het een illusie is dat je dit voor zo'n basale en noodzakelijke dienst helemaal kan dichttimmeren.

Ik heb zelf bij een energieleverancier gewerkt en had ook toegang tot dit register. Het is bijvoorbeeld nodig voor het verwerken van verhuizingen en dus inschrijven van aansluitingen voor mensen. Vrij basic dus, en het is ook nodig dat hier veel mensen toegang toe hebben om alle service te verlenen.
Helemaal waterdicht krijg je zo'n systeem met zoveel gebruikers inderdaad nooit, maar dat één gebruiker van klant 2 M sets gebruikersgegevens op kan vragen omdat er geen voorwaarden aan zijn is weer het andere uiterste.
Je hoeft de toegang niet dicht te zetten maar je zou wel een limiet kunnen instellen zodat je niet meer de gegevens van 2 miljoen mensen tegelijk kunt opvragen, maar bv. slechts 1 persoon per zoekvraag oid.
Van de belastingdienst moet ik verplicht de debiteuren- en crediteurenadministratie 7 jaar bewaren. Daar zitten flink wat persoonsgegevens tussen. Ik zou ze graag weggooien. Sterker nog, ik zou ze het liefst helemaal niet vragen want ik heb ze helemaal niet nodig om mijn online dienst te kunnen leveren..
?

Als je in een winkel cash geld accepteert hoef je toch ook geen persoonsgegevens op te vragen? Moet dat bij een elektronische dienst wel? Wat als je bitcoin betalingen accepteert? Vul je dan een wallet ID in of zo?
Als je online diensten of producten levert (afstandsverkoop), ben je verplicht een factuur te sturen en deze ook zelf te bewaren (link). Vervolgens stelt de belastingdienst eisen aan de factuur, waardoor je wordt gedwongen persoonsgegevens te verzamelen en registreren (link).

Het verkopen van een online dienst of product aan een anonieme afnemer, zoals typisch het geval is bij een bitcointransactie is dus niet toegestaan. Op die manier worden Nederlandse ondernemers dus verplicht privacygevoelige gegevens te bewaren, terwijl ze daar niet op zitten te wachten.

[Reactie gewijzigd door intoxicated op 13 september 2016 21:53]

Ik interpreteer het toch anders...
Levert u goederen aan een klant in een ander EU-land en doet deze klant geen btw-aangifte? En vervoert u de goederen zelf naar dat land of laat u de goederen daar naartoe vervoeren? Dan is dit een afstandsverkoop [..]
Diensten zou dus moeten mogen. Dus bijvoorbeeld na betaling iets downloaden of zo.
Bij B2B ben je verplicht dergelijke informatie van je klanten bij te houden, maar als je met name (of alleen maar?) consumenten als klant hebt hoeft dat niet.
Het interesseert me niet wat er gebeurd is. Dit bericht laat alleen maar zien dat het droevig gesteld is met onze privacy. Of het nu de Staat der Nederlanden, het Openbaar Ministerie of een of andere olie & gas-boer is, iedereen kan toegang krijgen tot alles. Privacy is en steeds belangrijker wordend grondrecht dat verankerd is in art. 10 van de Nederlandse Grondwet. De ytekst van lid 1 luidt als volgt: '
Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.' Vervolgens wordt dit recht in lid 3 weer verkwanseld door te zeggen: '
De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.' zonder dat lid 1 in acht behoeft te worden genomen. Een typisch voorbeeld van slechte, Nederlandse wetgeving. Privacy is gewoon een rommeltje in Nederland.
*Zucht*. Tijd voor Staatsinrichting 101, blijkbaar, dat ***vak op de middelbare school waarvan iedereen vond dat het maar zinloze shit was... De grondwet doet geen bal voor jou als burger, tenminste, niet voor wetten in formele zin (en dat zijn veelal de meest omvattende en interessante). Rechters hebben noch toetsingsrecht noch een constitutioneel hof , omdat men hier te lande sinds Thorbecke vond dat de gekozen Tweede Kamer de hoogste wetgevende instantie is, en niet een niet-gekozen rechter. Dat is een fundamentele keus die in andere landen anders uitpakt; er is geen dwingende reden te noemen waarom je het zus of moet doen. Sommigen prefereren gekookte aardappelen, anderen gebakken, zoiets. De gw kun je als gewoon eerzaam burger maar het beste zien als een leidraad voor de manier waarop de Tweede Kamer invulling geeft aan de daar opgenomen principes; en dus ook dat afwegingen welke principes voor welke andere gaan daar worden genomen. Met andere woorden: voor jou is alleen de wettelijke invulling van artikel 10 van belang, niet dat het principe is dat iedereen recht heeft op eerbiediging van de persoonlijke levenssfeer. Jammer maar helaas, maar zo rollen we in Nederland.

Wil je dat toetsingsrecht onverwijld wordt ingevoerd zodat de daarin opgenomen principes daadwerkelijk tanden krijgen, moet je D'66 of GL stemmen. De overige partijen (met name VVD, CDA, SGP en PVV) willen er niet aan.

Dat gezegd, er is jaren geleden wel een formele wet aangenomen die, indien ingevoerd na een gw-wijziging, beperkte toetsing mogelijk maakt. Maar voor artikel 10 alleen aan lid 1. Probleem is nu dat de gw-verandering er niet doorkomt, want de vereiste 2/3e meerderheid in TK en EK na verkiezingen krijg je gezien de huidige politieke verhoudingen niet voor elkaar.

[Reactie gewijzigd door cymric op 13 september 2016 23:59]

Met de neiging van de tweede kamer om vooral ook politiek strategische (of zelfs populistische) overwegingen centraal te zetten (in plaats van idealistische / waarheidsvindende / evenwichtige / ethisch & moreel juiste / juridisch zuivere overwegingen) zou ik de berechting van veel zaken eerlijk gezegd liever overlaten aan een onafhankelijke rechter dan aan een stemmingspanel van politieke partijen.

Als je zit aan wat voor mediaspelletje politici blootgesteld staan, en om wat voor onzinnige futiliteiten het soms gaat, en wat de enorme rol is van uitstraling en imago en spinning en framing en bespeling, en hoe moeilijk het nu al is om oprechtheid te horen in politieke debatten, dan zou ik mijn hart vasthouden.

Want als ik politici hoor debatteren denk ik eigenlijk doorgaans: hier zijn geen twee mensen oprecht geinteresseerd en betrokken in gesprek en samen op zoek; maar hier is een gevecht gaande, waarbij elk van de twee gesprekspartners de ander als tegenstander beschouwt die zijn ideeen onderuit probeert te schoppen, en waarbij het erom gaat om als 'de winnaar van het debat' uit de bus te komen, zodat na afloop het meeste mensen zullen zeggen: 'ja, ja, hij had gelijk, hij had gelijk, hij weet hoe het moet, we moeten hem achterna, wat een slimme inzichtvolle man, veel beter dan die ander'.

Heel simpel gezegd, het gaan in de tweede kamer om HEEL veel andere dingen dan om de inhoud. Dat is geen onderbuikgevoel maar een observatie die ik als psycholoog getraind in gespreksvoering doe als ik ze met elkaar in gesprek zie. Er is bijna nooit een gesprek gaande waarbij de ander aandachtig luistert en bereid is van standpunt te veranderen.

Heb je ooit een politicus gezien die een half jaar iets uitdroeg, vervolgens een zeer intelligente en heldere uitzetting in de kamer kreeg van een andere partijvoorzitter, en dat hij dan daarop zei: "Oohh.... bedoel je dat... nu snap ik het. Jeetje wat slim. Ja, daar had ik inderdaad geen rekening mee gehouden. Fuck, dan ben ik heel onhandig bezig geweest het afgelopen half jaar. Nee, goed punt, bedankt dat je dit aangestipt hebt! Heb jij volgende week misschien tijd om met mij en wat collega's om de tafel te gaan zitten om dit nog wat verder helder te krijgen? Ik denk dat wij beleidsstuk x terug moeten gaan roepen en zo snel mogelijk een nieuwe moeten schrijven. Zou je willen meekijken?"

Ik heb dat nog nooit gezien in de kamer. Heel soms doet er eentje iets wat er een klein beetje op lijkt, en acuut wordt hij genadeloos te grazen genomen: de beste man is dan namelijk een windvaan die niet weet wat hij wil. Een softie die de boel niet onder controle heeft. Iemand die niet goed nagedacht heeft van tevoren.

Dus zwellen de borsten nog maar eens op, en dus luisteren ze niet goed naar wat hun politieke 'tegenstander' (hun eigen woorden - dat is toch idioot!) te zeggen heeft, maar wachten ze tot de ander uitgepraat is en het hun beurt is, en ze weer even hun eigen zorgvuldig voorbereidde partij-bevorderende retoriekje mogen afsteken.

Uitzonderingen natuurlijk daargelaten.

Er zijn dus kortom veel complexe sociaal-psychologische processen aan de gang daar in de kamer, die te maken hebben met macht, status, en vooral het bereiken van doelen, die in urgentie het belang van individuele kwesties vet overstijgen. Je loopt simpel gezegd keihard het risico dat iemand als rutte vanuit een overweging om PVV>VVD kiezersverloop te beinvloeden zal pleiten voor een hogere straf voor een allochtone overtreder, zo vlak voor de verkiezingstijd. Ze zijn niet onafhankelijk.
Met de neiging van de tweede kamer [...] stemmingspanel van politieke partijen.
Dat mag je vinden. Maar je zult dan genoegen moeten nemen met het feit dat de beslissingen uiteindelijk altijd door iemand anders waar je geen enkele invloed op hebt kunnen worden teruggedraaid. Daar moet je niet te lichtzinning over denken, omdat die 'andere iemanden' er net zo goed krankzinnige ideeën erop na kunnen houden. Kijk naar de volslagen waanzin van Antonin Scalia in het Hooggerechtshof van de VS, die meende dat de US Constitution moest worden geïnterpreteerd volgens de geldende normen en waarden van de 18e eeuw. (Serieus, geen grapje.) Vrouwen zijn in die optiek dus geen 'persoon' in de zin van de wet omdat ze dat in die tijd ook niet waren, dus elke zaak die over dat soort dingen ging vond Scalia op z'n weg. Leuk om te weten als 21e eeuwse vrouw. Gelukkig ging die zak Reagan-patat onlangs dood, vrijwel de enige manier om hem daar op onvrijwillige wijze weg te krijgen.

Er zijn geen goede oplossingen in deze. Ook het installeren van een AI werkt niet, want niet menselijk (genoeg).
Als je zit aan wat voor mediaspelletje [...] dan zou ik mijn hart vasthouden.
Niemand is ongevoelig voor het mediaspelletje, ook niet de onafhankelijke rechters. En zo niet, dan is er altijd wel iemand die voor een paar ruggen met liefde een beeld in de media creëert dat de rechter partijdig is en gewraakt moet worden. Diverse populaire weblogjes hebben daar een dagtaak aan. Trias politica is een vies woord in die optiek.

Nee, het probleem is de media zelf, en dat de consumenten ervan niet kunnen omgaan met hoofd- en bijzaken. Dat vereist training en zelfverzekerdheid die meestal pas op universitair niveau tot wasdom komt. Media zijn allang niet meer onafhankelijke doorgeefluiken en 'hoeders van de democratie' zoals ze het zelf vinden, maar ten prooi gevallen aan het grote geld waardoor kijkcijfers, pageviews en followers alles worden. Onbelangrijke dingen en emotie worden opgeklopt want kijkcijfers. Inhoud en rede verdwijnt want geen kijkcijfers. Consumenten nemen die houding over, en beginnen zich letterlijk druk om niks te maken. Het scherm van een computer of smartphone wordt een raam waardoor je naar buiten naar de 'global neighbourhood' kijkt: het 'verre' en 'afstandelijke' gaat er met rasse schreden vanaf.

Ik neem regelmatig time-outs van het nieuws: geen TV, geen video, al helemaal geen social media of weblogs (allemaal opklopperij pur sang), alleen even kort een paar headlines van een aggregeerder. En that's it. Ik kan het aanbevelen: het geeft enorm veel rust, en de wereld draait, vreemd genoeg, gewoon door.
Want als ik politici hoor debatteren [...] veel beter dan die ander'.
Natuurlijk. Maar dat komt ook vanwege de noodzaak om je te blijven profileren. Inhoudelijke discussies trekken geen media en dus geen kijkcijfers, en geen kijkcijfers betekent ook dat niemand weet waarmee je bezig bent en dat je als politicus niet wordt herkozen. Dan zou je zeggen: laat mensen zelf moeite doen om te kijken wat politici voor elkaar krijgen. Maar daarvoor zijn ze te lui, het is niet interessant genoeg, blablabla.
Heel simpel gezegd, [...] van standpunt te veranderen.
Ik ben geen psycholoog, maar wel aardig onderlegd in debatteren en laakbare trucs die je ermee kunt uithalen. Dat het niveau om van te huilen is, is zonneklaar. Nu ligt dat ook een beetje aan de tijdgeest van 'identity politics'. Je profileert je als merk; jij staat ergens voor. Daarvan afwijken doet inbreuk aan je merk. Bovendien krijg je het labeltje 'draaikont' opgeplakt door mensen die gewoon recht door zee patsboemnietlullenmaarvullen willen zijn, en een schurfthekel hebben aan nuance, discussie, en meer.
Heb je ooit een politicus gezien [...] Zou je willen meekijken?"
Helaas niet. En die komt er ook niet. Hij of zij kan zijn mening niet in Twitterberichten inpassen, ook al is de limiet van 140 tekens er afgegaan (of gaat er binnenkort af, ik volg het allemaal niet even nauwkeurig).
Interessante reply, Cymric. Identity politics, dat is inderdaad een goed woord. Elk gesprek, dat een mogelijkheid tot groei door samenwerking zou kunnen zijn, wordt een 'profiling opportunity'. Zonder hoor, zonde.

"Maar je zult dan genoegen moeten nemen met het feit dat de beslissingen uiteindelijk altijd door iemand anders waar je geen enkele invloed op hebt kunnen worden teruggedraaid. "

Bedoel je dan dat uitspraken van een kantonrechter gewijzigd kunnen worden in hoger beroep door bv de hoge raad? Het hangt er dan op of je de hoogste gerechterlijke instantie in het land vertrouwt op juridische zuiverheid. Ja, ik wil daar best genoegen mee nemen. De politiek vertegenwoordigt de wil van het volk (hopelijk, zo goed als mogelijk, komt ergens toch zeker in de buurt), de politiek maakt de wetten of past ze aan, en de rechters zorgen voor de individuele uitvoering. Heel handig als een rechter geen politieke belangen heeft, zou ik zeggen. Hij moet niet nadenken over of deze wet al dan niet rechtvaardig is, hij moet berechten volgens wat de wet op dat moment voorschrijft. Althans, als eerste uitgangspunt. Leidt een uitvoering van de wet tot een moreel verkeerd aanvoelende situatie, dan is het goed je te roeren. Daarom heeft een rechter ook bewegingsvrijheid en bepaalt hij de strafmaat.

Nee ik zie het probleem niet zo. Tenzij je zegt: de hoge raad en de rechters zijn een stel op hol geslagen idioten, en daarintegen is de 2ekamer een stuk integerder en zorgvuldiger. Mijn indruk (vooroordeel waarschijnlijk, heb niet veel info) is dat het omgekeerde het geval is ;-)

Enfin we zijn weer lekker off topic =]
Niet alleen D66 of GroenLinks. Ook de ChristenUnie en de Partij voor de Dieren zijn volgens hun laatste verkiezingsprogramma voorstander van een constitutioneel hof.
Inderdaad, maar het gekke is dat de privacy van de burger niet belangrijk genoeg is voor die hoge heren in den haag. Waarom wordt er bijvoorbeeld niet genoemd WELK bedrijf deze misstanden plegen? Onbegrijpelijk dat er miljoenen aan data gestolen wordt, maar niet verteld wordt wie het gedaan heeft. Letterlijk van de zotte en het ergste is die medewerker is nu ontslagen terwijl je vrijwel 100% zeker kunt zijn dat hij dat in opdracht van dat bedrijf gedaan heeft. (Waar heeft een individu anders data van jaarverbruik stroom/gas voor nodig?) wil de overheid echt de privacy van de burger gaan beschermen, dan zouden ze misschien eens moeten beginnen met het noemen van dit soort bedrijven zodat de consument er ver weg blijft (en dus zijn/haar privacy beter gewaarborgd wordt).
Een individu kan misschien bij de concurrent van de huidige werkgever een leuke baan krijgen als hij wat interessante info meeneemt of de info gewoon verkopen aan partijen die daar belang bij hebben? Het is wel heel kort door de bocht om te concluderen dat de werkgever opdracht heeft gegeven.
Nou in deze tijd zullen mensen echt niet zo gauw van baan verwisselen en op deze manier bouw je natuurlijk ook een slechte reputatie op voor jezelf. Als je wist hoeveel bedrijven van dit soort corruptie plegen (en wanneer betrapt de schuld in de schoenen schuiven van medewerkers die de opdracht gekregen hebben) dan is dit nog niet zo'n hele vreemde theorie. Ik zeg niet dat het zo is maar de kans is wel aanwezig en ik denk ook dat dit verhaal nog niet tot zijn einde is.
Maar voor het verborgen houden van dit soort namen wordt ook weer grof geld betaald en zo houdt de cyclus zichzelf in leven. :X
Gegevens van klanten zijn bij ieder bedrijf altijd te benaderen door minsten één iemand of system. Hoe zou je anders facturen willen versturen naar je klanten? Deze klant gegevens mogen/moeten bewaard worden voor 5-7 jaar voor diverse redenen (belastingdienst, achterstallig betalingen, wanbetalers die je niet meer terug wilt)

Deze klanten kunnen al lang weg zijn, maar hun gegevens nog niet.

Het werken met deze data binnen het bedrijf is niets nieuws en zal altijd noodzakelijk zijn.

Het moedwillig mee smokelen van die gegevens naar buiten is niet toegestaan en daar moeten die mensen voor tekenen, daar staan boetes op een het is strafbaar.

Toch hoeft er maar één persoon zich hier (bewust of onbewust) zich niet aan te houden en het kwaad is geschied.

Het is in iedergeval niet simpel om hier gelijk te wijzen en te oordelen. We zijn hier allemaal tweakers en maken er zelfs een sport van om dingen uit te vogelen die niet zouden moeten kunnen of mogen ondanks dat fabrikanten of bedrijven er alles aan proberen te doen om dat te voorkomen. Dus laten we hier niet ineens heilige naïeve pietje spelen omdat het misschien nu ineens 'onze' persoonlijke data betreft.
Ik vind het rooten van een telefoon ofzo wel van een andere orde dan wat hier gebeurt. Dat je lekker wilt klooien met je eigen spullen is niet hetzelfde als misbruik maken van rechten die je vanuit je werk hebt en de privacy van letterlijk miljoenen schenden.
Wat te denken van concurrentie als de data zo gemakkelijk worst uitgewisseld? Gewoon echt verschillende onafhankelijke leveranciers of 1 leverancier. Dit toont aan dat het systeem niet deugt en dat de klant (burger) aan alle kanten feitelijk het nakijken heeft. Met dank aan het politieke stelsel dat zich vooral druk maakt om de eigen carrière.
@Coyette
Uw duiding van het derde lid van artikel 10 GW is niet juist. Het systeem is dat het eerste lid het grondrecht beschrijft en dat de volgende leden limitatief aangeven op welke gronden beperkingen op het grondrecht mogelijk zijn - geen enkel grondrecht is absoluut - en soms bevat het ook een wetsopdracht, zoals i.c. het derde lid: regel bij wet hoe zus en zo.

In het Europees verdrag van de rechten van de mens (EVRM) dat in Nederland rechtstreekse werking heeft, is deze systematiek nog duidelijker toegepast: eerste lid het grondrecht, volgend lid een limitatieve opsomming van de gronden die een inbreuk kunnen rechtvaardigen (de inbreuk moet dan bovendien ook eens zijn voorzien bij wettelijke regeling en noodzakelijk zijn in een democratische samenleving).
Gestolen vind ik wel een erg zwaar woord. Die gegevens lagen vanaf het begin af aan al op straat:

Wij zijn klant van energieleverancier X. Vorig jaar kwam er een verkoper van een andere energieleverancier langs, waar wij dus nooit enig zakelijk contract mee hebben gehad, en die kon ons precies vertellen wat ons jaarverbruik was. Hij hoefde alleen even aan te vinken dat wij toestemming hadden gegeven, wat we dus niet gedaan hadden, en hij kon zo ons jaarverbruik van gas en elektra opvragen.
Elke andere verkoper van elk ander energiebedrijf kan dit register dus ook zo opvragen voor iedere willekeurige Nederlander. Of je nu een slimme meter of analoge hebt maakt niet uit, het komt allemaal in dezelfde database te staan.

Alles opzij voor een vrije markt-economie.
Hoe komt het dat je dit dan toch geen diefstal vind?

Het feit dat hij een 'vinkje' heeft aangeklikt doet mij toch eerder vermoeden dat het met opzet is gedaan, wellicht met goede bedoelingen maar uiteindelijk is toch je data ontvreemd = diefstal.

Onze woorden zijn over het algemeen wel zwaar maar daarom niet minder waar.
Het gaat mij erom dat een simpel vinkje geen beveiliging is.
Hoe weet het systeem of ik toestemming heb gegeven aan de verkoper, of dat de verkoper, zoals in ons geval, op eigen houtje een vinkje zet.
Dit hele centrale opslagsysteem is bedacht vanuit het principe van marktwerking, vanuit de energie-leveranciers. Zelfs als je nergens toestemming voor hebt gegeven kan de verkoper al je data opvragen ( en net doen of jij toestemming geeft). Daarom vind ik diefstal een wat zwaar woord. Alle verkopers hadden al toegang tot deze data.

En dit is nou net het grote risico van al die centrale opslagsystemen van tegenwoordig:
Je weet niet wie er allemaal meekijkt en wat ze met jouw gegevens doen.
De grote vraag is, wat je wel en niet in een centrale database moet opslaan.
Nu gaat het om je stroom/gas-verbruik, de volgende keer om je medische data of je leerprestaties.
Degene die de gegevens op heeft gevraagd mocht gewoon bij die gegevens en daar zat schijnbaar geen enkele rem op. Net alsof ik jou een koektrommel voorzet en zeg "pak maar" en daarna ga lopen mieren dat je m'n koekjes gestolen hebt als ze allemaal op zijn.

Daarnaast is er niets weggenomen, die data is geen goed, Netbeheer is niets kwijt.

Het is dus onzin om van diefstal te spreken.
Bij diefstal moet er volgens mij iets van weg zijn bij de eerdere eigenaar.
Dat is niet het geval.

Het is wel een misdrijf, maar er is niets verdwenen. Er is volgens mij wel data ontfutseld, niet ontvreemd (want de eigenaar heeft het zelf ook nog).

[Reactie gewijzigd door djwice op 13 september 2016 22:05]

Hetgeen dat weg is mag echter niet-concreet zijn. Bijvoorbeeld je goede naam... Of potentiële inkomsten e.d.

Verder spreekt men ook van identity theft bijvoorbeeld. Als er iets niet echt van je ontvreemd kan worden is het je identiteit. Maar als anderen 'aan de haal' gaan met jouw persoonsgegevens / creditcard nummers dan ervaar je dit wel degelijk als diefstal.
Verder spreekt men ook van identity theft bijvoorbeeld.
Dat is dan ook een foute term. In professionele cirkels wordt vaker gesproken van identity fraud.
Brb, even wat muziek downloaden, films en series. Geen diefstal, want het is gewoon een kopietje toch? Niemand mee benadeeld toch? :+
Dan lees je mijn reactie niet goed.
Het is wel strafbaar alleen het is geen diefstal, het strafbare feit valt dus simpelweg onder andere wetgeving.
dat aanvinken zou ik dan fraude noemen
Dit is precies de reden waarom veel mensen geen slimme meter wilden, denk ik zo.

Edit: Wat ik bedoel, en wat @Clifdon hieronder verwoord, is dat als bedrijven deze gegevens niet kunnen beveiligen, kunnen ze dat dan wel bij de gegevens van de slimme meter?

[Reactie gewijzigd door matroosoft op 13 september 2016 19:37]

Dit soort informatie moet niet eens vanuit slimme meters komen. De data zoals ze hier beschreven staat is evenzeer van toepassing op klanten met een niet slimme meter.
De data zoals ze hier beschreven staat is evenzeer van toepassing op klanten met een niet slimme meter.
Klanten met een domme meter:
  • 1 meting per jaar met cumulatief verbruik over het hele jaar
  • Hacker weet of je weinig, gemiddeld of veel gebruikt
  • Hacker kan schatten hoeveel mensen er in huis wonen
Klanten met een slimme meter:
  • 1 meting per 5 minuten, oftewel meer dan honderdduizend per jaar
  • Hacker weet of je weinig, gemiddeld of veel gebruikt
  • Hacker kan schatten hoeveel mensen er in huis wonen
  • Hacker kan zien hoe laat je 's ochtend op staat
  • Hacker kan zien hoe laat je naar je werk gaat
  • Hacker kan zien hoe laat je thuis komt
  • Hacker kan zien hoe laat je naar bed gaat
  • Hacker kan zien welke week/weken je op vakantie was
  • enz.
Dit heeft ALLES met de slimme meter te maken.
Hacker (lees potentiële inbreker) kan ook voor de deur gaan staan of een timelapse camera plaatsen in een geparkeerde auto, heeft ie de informatie ook zo verzameld en ook nog direct de info erbij hoe oud de mensen zijn etc, of het een huis is in een rijke buurt. Kortom het is 1 mogelijkheid om info te verzamelen, maar er zijn nu al manieren om dat ook te achterhalen.
Maar dan doet die hacker misschien een paar huizen tegelijk, in de hoop een goed slachtoffer te vinden. Nu kan hij simpelweg de gegevens filteren van een straat/wijk/stad om de juiste kandidaten te achterhalen.
Hacker (lees potentiële inbreker) kan ook voor de deur gaan staan of een timelapse camera plaatsen in een geparkeerde auto, heeft ie de informatie ook zo verzameld en ook nog direct de info erbij hoe oud de mensen zijn etc, of het een huis is in een rijke buurt.
Je vergelijkt nu een methodes zonder physical presence en met physical presence. Daar zit een wereld van verschil tussen m.b.t. moeite, risico's en schaalbaarheid.
Het gaat erom dat die informatie die een hacker zal kunnen bemachtigen ook op andere manieren te verkrijgen is.

En hij kan niet inbreken in 2 huizen tegelijkertijd (wel achterelkaar, maar kost tijd), dus de beperking zit in het fysieke, niet in de informatie.

Informatie over sloten en beveiliging van de woning, is niet uit te lezen via de slimme meter. Dus er zal nog steeds een fysieke check moeten plaatsvinden.

Dus de bewering de hacker kan zien wanneer iemand thuis is of niet "an sich" is geen alarmerend iets. Ook zal de wasmachine/vaatwasser/droog machine aan kunnen staan wanneer iemand niet thuis is. Zo zal de koelkast/diepvries ook aan en uitgaan, dus de informatie van de slimme meter is niet "heilig".

Gewoon wat tegengas op berichtgeving dat door een hack alles maar kan, wat "vroeger" zogenaamd niet zal kunnen.

Als kind typte ik het telefoonboek over in dbase 3, sorteerde de nummers en de ontbrekende nummers bestonden niet, waren een geheim nummer of een datanummer (daar ging het mij om toen). Nu is datzelfde telefoonboek digitaal te raadplegen, makkelijker om te sorteren en de missing numbers eruit te halen, maar het biedt geen nieuwe mogelijkheden, alleen het is eenvoudiger geworden, maar er zijn nu veel meer telefoonaansluitingen...

[Reactie gewijzigd door kritischelezer op 14 september 2016 11:57]

1 meting per 5 minuten, oftewel meer dan honderdduizend per jaar
Dat is optioneel, de eindklant moet een energieleverancier machtigen om dit te doen. In alle andere gevallen is er gegarandeerd dat de data slechts als totalen per meter eens per 2 maanden wordt gerapporteerd:
https://www.rijksoverheid...oord/slimme-meter-privacy
[...]


Dat is optioneel, de eindklant moet een energieleverancier machtigen om dit te doen.
Als een energieleverancier dit ook enkel met een vinkje kan aanzetten, dan twijfel ik daar sterk aan. Alles wat fout kan gaan, gaat ooit eens fout. En het gaat sneller fout als er geld bij betrokken is. Dat de mogelijkheid al bestaat is een risico. Let op dat mensen met een normale meter dit risico niet dragen.

Een goede manier om datamisbruik te voorkomen is door niet de mogelijkheid te hebben om het te verzamelen.

[Reactie gewijzigd door The Zep Man op 14 september 2016 05:49]

Niet alleen geen toestemming geven maar ook alu folie over de meter plaatsen ?
Want de data-overdracht gaat toch via GPRS/3G ?
Of werkt dat niet zo (dus data-overdracht via de elektra) ?
Nee, de data overdracht gaat via een web formulier dat ik eens per jaar invul. Of via een mannetje die langs de deur komt. Ik heb namelijk een *domme* meter en dat hou ik graag zo.
Let op dat mensen met een normale meter dit risico niet dragen.
Er worden hier een aantal dingen door elkaar gehaald, volgens mij.

De database waar het hier om gaat is niet de database van een energieleverancier. Het is een database met technische gegevens over de aansluiting op een bepaald adres. Het is vergelijkbaar met bijvoorbeeld simkaartgegevens: als jij ergens heen belt moet de netwerkboer bijvoorbeeld weten of jij toegang hebt tot het netwerk en waar de rekening heen moet. Sterker nog, als jij bij de ING bankiert, gebruik maakt van tan-codes en van simkaart wisselt vertelt de ING je dat je 48 uur geen codes kunt ontvangen omdat je een nieuwe simkaart hebt. Dus zelfs banken kunnen bij die data.

De gegevens waar het hier om gaat mogen worden opgevraagd door een energieleverancier als jij bijvoorbeeld aangeeft dat je wilt overstappen naar die energieleverancier, want die nieuwe leverancier heeft die gegevens nodig. Vandaar dat vinkje bij die huis-aan-huis-verkoper, als jij vertelt dat je wel wilt overstappen mag hij bij die gegevens. Dat staat los van slimme- of niet-slimme meter. Ook een niet-slimme aansluiting heeft technische eigenschappen die nodig zijn voor een leverancier. Dat hij dat vinkje zet zonder dat jij daarvoor toestemming hebt gegeven klopt uiteraard niet, dat is misbruik.
Daar gaat het niet om. Als ze dit systeem niet kunnen beveiligen dan kunnen ze dat met het systeem van de slimme meters ook niet. Meer systemen maakt de kans op een fout groter.
En met een slimme meter ligt dan meteen veel meer persoonlijke data op straat waaruit af te leiden is wanneer je thuis bent, hoe laat je thuiskomt e.d.
Een standaard slimme meter geeft alleen de totalen door op 2 maandelijkse intervallen. Daar is niets uit te achterhalen over moment van aanwezigheid.
Tuurlijk wel. Ik ken mensen die gewoon elk jaar twee keer een maand op vakantie gaan, en meestal rond dezelfde periode. Dat kun je uit zulke data prima achterhalen, want als je ineens ziet dat in de periode september-oktober het verbruik halveert, dan weet een slimme inbreker precies hoe laat het is.
In dit geval kopt het maar ik snap de mening van Matroosoft wel.Vele denken (terecht of onterecht) dat hoe meer alles verbonden is hoe meer alles door grote bedrijven opgedrongen wordt.

Persoonlijk zit ik ook liever bij de kleinere bedrijven dan bij de grote bedrijven. Heb nu al bij grote bedrijven vaak meegemaakt dat je een nummer bent (ben je natuurlijk ook) en ze totaal geen aandacht meer voor je hebben. Bij de kleinere bedrijven ervaar ik dit persoonlijk anders. Plus anderen die geen toegang hoeven te hebben op de meter kunnen blijkt achteraf natuurlijk vrij makkelijk toch hierop komen.

Heb zelf dusver nog geen slimme meter gekregen. Zal waarschijnlijk wel binnen jaartje of 2 zijn.
En precies de reden waarom ik geen enkele vorm van slimme apparaten meer in huis wil, oftewel apparaten die persoonlijke data lekken naar een cloud. "Slimme" apparaten betekend tegenwoordig altijd het verzamelen van data door partijen die er niks mee te schaften hebben.

Data die ze niet hebben kan ook niet gelekt worden. De meest veilig manier om met data om te gaan is uberhaupt geen data opslaan.
In het geval van energiebedrijven: het enige dat ze hoeven te weten is hoeveel ik gebruikt heb het afgelopen jaar, voor de jaarafrekening. Niet meer en niet minder.
Slimme apparaten zijn niet verkeerd maar de BS redenen dat "voor service doeleinden" telemetrie data naar het internet moet (of opt out) vindt ik een slechte ontwikkeling.

Een maand geleden wou me TV geen TV meer wou weergeven na een update tenzij ik akkoord ging met dat al het kijk gedrag naar de fabrikant gestuurd zou kunnen worden. Uiteraard voor service doeleinden.

Me nek haren gaan er van overeind staan, en houd me hardt vast met als andere apparaten als koelkasten en alles met een stekker 'smart' wordt.
Gewoon geen internet aansluiten. Geen netwerk = geen data. :)
Hoe kom je op het internet dan zonder slim apparaat?

Maar even zonder gekheid, de netbeheerder waar deze gegevens van afkomstig zijn heeft geen toegang tot jouw exacte (live) meterstanden maar krijgt gewoon jaarlijks of half jaarlijks de gegevens door van dat moment. En ik mag hopen dat de live gegevens beter beveiligd zijn en dus niet opvraagbaar door elke schoonmaker van elke energieleverancier.
Hoe kom je op het internet dan zonder slim apparaat?
Nou, gewoon, met apparaten waar ik zelf controle over heb. Voornamelijk Linux computers. Je hoeft niet perse met systemen met ingebouwde tracking te werken hoor, dat is een keuze.
En ik mag hopen...
Je mag best hopen maar in de praktijk blijkt dat helemaal niet zo te zijn. Keer op keer blijkt data wagewijd open te staan. Dus ik weet niet waar je jouw aanname dat het goed beveiligd zou zijn op baseert. Meestal gebruiken ze zelfs gewoon http (zonder encryptie) om het te versturen en kunnen alle routers en hackers die er tussen zitten ook vrolijk mee luisteren.
En dus ook een adres waar die rekening heen mag en legitimatie voor automatische incasso (dit mag/moet dan wel weer zonder bsn maar daar ben je zelf verantwoordelijk voor) en dus ook je rekeningnummer.

Oftewel alle gegevens die ze nu ook al hebben.
Hoe kunnen ze een verbruikspatroon afleiden uit mijn bankrekeningnummer? Betalingsgegevens hebben helemaal niets met het verzamelen van data te maken.
Onzinnige reactie natuurlijk. Het gaat hierbij expliciet om persoonsgegevens. Daarnaast ga ik alleen in op je stelljng dat ze alleen verbruiksdata nodig hebben voor de jaarrekening. Dat is dus niet waar. Het omvat juist de gegevens die nu "gestolen" zijn.
Dit heeft niets met een slimme meter te maken.

In het systeem staan gegevens van mensen met en zonder een slimme meter. Jij moet net als alle andere nederlanders je meter standen door geven. Dit zijn de net beheerder gegevens ook moeten eindleveranciers hun data plaatsen over jaar nota's zodat andere leveranciers als zij een klant overnemen het verbruik kunnen inzien om zo een passend aanbod te kunnen doen en te checken of iemand niet onrealistisch verbruik heeft met gegevens uit het verleden.
In het systeem staan gegevens van mensen met en zonder een slimme meter.
Maar van de mensen met slimme meter staan er veel meer metingen in. Ruim honderdduizend keer zoveel zelfs. Wie zijn er nu dus harder 'de sjaak' denk je? Ik met mijn 5 metingen over de afgelopen 5 jaar, of mijn buurman met zijn slimme meter en een half miljoen metingen over de afgelopen 5 jaar??

Gelukkig heeft mijn buurman echt kei veel voordeel gehad van zijn slimme meter... Zoals op zijn smartphone ... iets... kunnen... of zo...
Half miljoen metingen over 6 maanden???

Slimme meters mogen en kunnen maar 1 keer per dag meet data versturen.
Stein leest 6x per jaar de meterstanden uit of wel 1x per 2 maanden. Dat er dus honderdduizend meer info is klopt niet.

Daarnaast kan de transporteur een keer extra uitlezen tbv testen van nieuwe software.

Ook is het zo dat een slimme meter niet betekend dat deze rapporteert aan de energie leverancier maar aan de transporteur De energie leverancier krijgt deze gegevens weer van de transporteur.
Een slimme meter betekend niet dat zij kunnen zien wat voor apparatuur wanneer aanstaat. Zij lezen alleen de meter standen af

De gegevens van niet slimme meter en slimme meter zijn gelijk, honderdduizend metingen over 6 maanden is ondoenlijk en erg kosten inefficient. ik zou weer een alu hoedje vouwen en wachten op ET :+
Slimme meters mogen en kunnen maar 1 keer per dag meet data versturen.
Van wie? Ik weet dat er bij grootverbruikers nu al vaak meters hangen die elke 5 min. opsturen (heb zelf ooit de software mogen schrijven die daar mooie grafiekjes van tekende).
Ik meen gelezen te hebben dat men dit ook bij consumenten wilden gaan plaatsen.
honderdduizend metingen over 6 maanden is ondoenlijk en erg kosten inefficient.
Is per jaar en nogmaals, er staan wel degelijk zulke meters in het veld, ik heb die data zelf mogen verwerken.
En inderdaad is dat zwaar, elke 5 min. tikt best aan, maar dat was 15 jaar geleden, dat zal nu toch wel iets makkelijker gaan.
ik zou weer een alu hoedje vouwen
Yup want van de donkere voorspellingen over pricay issues die de alu hoedjes brigade hier in het verleden gedaan heeft zijn er helemaal geen uitgekomen. :z
Sorry hoor, Je eigen blog of at het ook mag zijn spreekt boekdelen.
Als jij bij een energie transporteur hebt gewerkt, die moet voldoen aan behoorlijk strenge eisen. En je weet redelijkerwijs dat zij illegaal data verzamelen van klanten. Dan moet je dat gewoon melden bij de autoriteit persoons gegevens.

Het is namelijk wettelijk vast gesteld dat transporteurs 1x per 2 maanden data mogen en kunnen uitlezen.

Waar jij het mogelijkerwijs over hebt zijn de kastjes die klanten "gratis" bij de leverancier kunnen krijgen zogenaamde energie monitor. Waar de leveranciers een portal geven aan de klant om het energie verbruik te monitoren. Ja dan kan het best dat een leverancier 10 duizenden meet punten heeft. Dit betekend niet dat de transporteur deze heeft en kan geven aan de leverancier.

De Energie monitoren die klanten thuis zelf kunnen installeren wordt elke 10 sec de meter standen uitgelezen en elke 5 minuten naar de portal gestuurd via je eigen internet verbinding. Zo heeft de leverancier dus jouw meetgegevens realtime. Maar nog steeds direct de meter uitlezen kan niet dat is 1x per 2 maanden.

Feiten en Fabels liggen erg dicht bij. Daarnaast is de wereld niet zo zwart wit als jij en een paar andere denken. Natuurlijk zijn er haken en ogen op digitale meters maar zo ook op de farrisweel meters. en ja meters moeten na xx jaar vervangen worden. maar ga alsjeblieft geen onzin de wereld in helpen zonder de feiten daadwerkelijk op tafel te kunnen leggen met harde bewijzen. En lees de wet door.

Als ooit zou blijken dat iemand die gegevens wel zomaar zouden opvragen voor eigen gewin.. Dan kan ik je verzekeren dat de eindverantwoordelijke 1 alles verliezen en 2 paar jaartjes mogen brommen.
Feiten en Fabels liggen erg dicht bij
Waar geef ik feiten die niet kloppen?

Extrapoleren is het toverwoord. Ik neem een situatie die feitelijk gebeurd is (gegevens van 2 miljoen klanten uitgelekt) en combineer dat met de wens van energie leveranciers om slimme meters op te hangen die veel meer meetpunten uitlezen.

Vervolgens extrapoleer ik dat onder het mom 'stel je eens voor als iedereen een slimme meter had gehad en dan van 2 miljoen klanten de gegevens waren uitgelekt'.

Dit is een pleidooi tegen slimme meters, omdat het bezwaar daartegen (privacy) veelal aan de kant geschoven wordt als alu hoedjes praat, terwijl nu blijkt dat het een reeel risico is.
Dan nog praat je onzin, Feit is dat een onbevoegde toegang had tot gegevens die hij niet behoord te hebben.

Feit is nog steeds al heb je een slimme meter het hier niet om meet gegevens ging. maar om gegevens die betrekking hebben op de jaar rekening. Dus begin stand en eindstand.

De energie leveranciers willen idd meer meet momenten per klant. Dat krijgen ze niet en dat mag niet. Ze hebben dus hun eigen meet apparatuur die uitgerold kan worden bij klanten. Niet verplicht maar wel gratis. En dat is een heel ander vraag stuk en privacy stuk. Dat totaal niet op een slimme meter slaat. Want FEIT een slimme meter mag maar 1x per 2 maanden uitgelezen worden volgens de wet. En dan staat daar alleen de meet gegevens in en geen tussen metingen.

Je kan dus extrapoleren als wat dan ook. Maar je kraamt nog steeds onzin uit gezien je het hier over twee duidelijk verschillende producten hebt.
Lijkt me niks met de slimme meter te maken hebben.

Gewoon een centraal systeem om de overstap makkelijker te maken tussen de verschillende leveranciers die te open stond.
En waaruit één meetpunt per jaar per afnemer weglekt, of > 100.000 meetpunten per jaar per afnemer.

Inderdaad het heeft helemaal niets met slimme meters te maken...... |:(

Stel, er valt één veertje van een flatgebouw op je hoofd... of een baal met 100.000 veren? Verschil tussen niks van merken en dood.

De schade van data lekkage wordt explosief veel groter door slimme meters.
Zoals er staat:
Het gaat om gegevens zoals het jaarverbruik, type aansluiting, de einddatum van de contracten en adresgegevens

Of ik nu een slimme meter, of een domme meter heb. Ik blijf maar 1 jaarverbruik hebben.
Zucht. Dus ze hebben zorgvuldig uitgezocht welke gegevens ze zouden laten lekken en toen hebben ze het jaarverbruik geselecteerd?

Punt is natuurlijk dat als deze gegevens zo slecht beveiligd zijn, die van slimme meters straks wellicht ook op straat liggen. Dat dat nu (nog) niet gebeurd is doet daar weinig aan af. Het punt blijft dat het zorgwekkend is dat men zoveel gegevens wil verzamelen terwijl de beveiliging duidelijk niet op orde is.
Zucht. Dus ze hebben zorgvuldig uitgezocht welke gegevens ze zouden laten lekken en toen hebben ze het jaarverbruik geselecteerd?
Nee, meer dan het jaarverbruik staat domweg niet in die database.
kleine aanvulling :+ er wordt maar 6 keer per jaar meter standen opgehaald door de transporteur. Eind leveranciers kunnen niet eens bij de meter komen.

En het verkeer van de module naar transporteur gaat via GPRS signaal, niet via UHF signaaltje die iedereen kan oppikken.
'De data zou gestolen zijn door een werknemer van de leverancier.'

Zoals te lezen heeft iemand toegang gekregen zonder te hacken, dus is iemand rechtmatig toegang verleend, is er dan nog te spreken over stelen?
gaat niet over de wijze van toegang , maar over de data.
Daar had die energie leverancier niets mee te maken.
Dat staat er dus niet. Er staat "De betreffende medewerker zou dergelijke data mogen inzien, maar had nooit een dergelijke hoeveelheid gegevens moeten opvragen." ik vraag me dus af inhoevere is hier sprake van misbruik.
geen misbruik, het onterecht toe eigenen van data.
dat ze erbij konden kan het simpele foutje zijn van een X bij gebruikersdata zetten/vergeten weg te halen.

[Reactie gewijzigd door fraggie op 13 september 2016 22:19]

Goed punt. Is dat zo? Als ik voor een bedrijf werk. Een energie leverancier, in dit geval, en ik heb rechten om in een systeem te kijken. Of data op te halen wat ongelimiteerd kan blijkbaar. Is het dan nog onterecht? Ik denk het niet namelijk. Hij mocht de data opvragen. Zijn werkgever mocht bij de data. En in hoevere kan je spreken van toegeigenen. Als ik data download, is het dan mijn data? Nee ook niet. Ik denk dat de centrale database en de energieleverancier zwak staan in een rechtzaak tegen de mederwerker.
Sowieso als het om andere digitale materie gaat is altijd het argument "er is niets weggenomen, dus het is geen diefstal".
dan noem je het privacyschending ipv diefstal :p
Als men bewust data binnenhaalt waarvan men weet dat men deze eigenlijk niet mag hebben, dan is er in iedergeval sprake van een onrechtmatige daad. Het maakt m.i. niet uit of de toegang per ongeluk is ontstaan, het blijft onrechtmatig.

[Reactie gewijzigd door pdukers op 13 september 2016 19:29]

Dat klinkt als een werknemer die een NDA heeft geschonden.
Zou het meer als oneigenlijk gebruik zien.
Net beheerder steld de gegevens beschikbaar aan leveranciers, iemand bij een van de leveranciers heeft de rechten om meer te doen dan dat van hem verwacht wordt te kunnen.

Wil de kromme vergelijking maken met mijn huis sleutel op het prikbord in de kantine op het werk prikken met het briefje er bij g"raag 2 maal per dag de huisdieren eten geven." En er na 2 weken achter komen dat je niets kwijt bent maar dat er door je spullen is gesnuffeld.

Nu wordt er gedaan als een naief 10 jarig meisje die moord en brand schreeuwed dat ze bestolen is terwijl er niets weg is en direct de schuld bij een ander proberen te leggen. Echt een gevalletje captain hindsight
"Het is onacceptabel dat deze persoonsgegevens op deze manier zijn opgevraagd"

Sterk staaltje spreekkunst.
Het is natuurlijk onacceptabel dat de persoonsgegevens verstrekt zijn.
Inderdaad. Typisch gevalletje van slecht User Access Management. Als eigenaar van de data zijn zij verantwoordelijk voor de toegang daartoe. Als ze dat dan slecht beheren is het toch echt hun schuld. Lijkt me een mooi gevalletje voor de AP om hun nieuwe boetebeleid eens in werking te stellen en een bedrijf de gevolgen van slecht management te laten voelen.
Precies en dat had voorkomen kunnen worden, want er is ruim 1,5 geleden een oplossing ingediend.

Wie is er nalatig?

Ik heb nog geen bericht gehad van Netbeheer Nederland. Wie wel, want volgens mij moet je binnen 48 uur persoonlijk op de hoogte worden gesteld als jou data gelekt is. En welke data van jou gelekt is.
....of de gevolgen van slechte beheerders. Of het mgmnt het schuld was weet je niet.
Natuurlijk wel. Het management dient te weten of de beveiliging op orde is en zo niet stappen te ondernemen om deze te verbeteren. Ze kunnen zich niet verschuilen achter individuele beheerders, zeker niet als die bij hun in dienst zijn.
Inderdaad kunnen ze achterhalen of de beheerders hun werk goed doen. Het valt me alleen op dat op IT-fora altijd gezegd wordt dat slechte IT de achld van het management is, terwijl er genoeg beheerders zijn die gewoon hun vak niet beheersen.

een medescholier van mij had 2 maanden na het grote nieuws het i-love-you-virus te pakken. Nu is hij beheerder...

[Reactie gewijzigd door _Pussycat_ op 13 september 2016 23:03]

Kom dit helaas vaak tegen. Zo mocht ik ergens niet de hele database downloaden, maar wel eerst een query doen op "geslacht=vrouw" en daarna nog eentje "geslacht=man". Tja.
Dat viel me ook al op inderdaad :D

'Het is onacceptabel dat iemand op dat knopje export daar heeft gedrukt! Fatsoenlijke user management was te duur, dus in de Faq staat dat het niet mag. '

Als het beschikbaar is zal het misbruikt worden. Dat je persoonlijke data in handen is van zulke idioten zou bij iedereen toch de nodige alarmbellen moeten doen branden ( en dat kan nu een stuk goedkoper bij het niet nader genoemde energiebedrijf ! ).
Precies wat ik dacht. Ja lekker praten maar je doet er niets meer aan.

Niet te geloven dit. Dit is dus precies waarom ik geen nieuwe meter wilde hebben. Maar ik kon er niet onderuit.
Dit heeft niets met een nieuwe meter te maken.

Dit heeft te maken met het gemak voor ons, als consument. Wij willen met één klik op de knop of één telefoontje over kunnen stappen naar een andere leverancier. Deze database heeft (zowat) alle consumentenaansluitingen van Nederland in zich. Iedere energieleverancier moet daar in kunnen kijken zodat ze tegen jou kunnen zeggen dat overstappen niet gaat of dat er een boete op staat, die de nieuwe leverancier wel of niet voor je gaat betalen.

En ja, deze schade hebben we aan onszelf te danken omdat we graag ieder jaar een welkomstbonus willen ontvangen.
Dit heeft niets met een nieuwe meter te maken.
Waarom niet?

De nieuwe meter stuurt veel meer en vaker gegevens naar de leverancier. Groot privacy bezwaar van tegenstanders is dat het onduidelijk is was of die gegevens goed beschermd worden tegen misbruik.

Inmiddels weten we dus: nee, die worden voor geen meter beschermd. En dus is een theoretisch, alu-hoedje bezwaar ineens een heel concreet en aantoonbaar juist bezwaar geworden.
De nieuwe meter stuurt veel meer en vaker gegevens naar de leverancier.
De database waar het hier over gaat bevat geen leverings- of persoonsgegevens, afgezien van de einddatum contract en jaarverbruik per adres. Slimme-metergegevens komen hier niet in. Het is een database met technische gegevens over de aansluiting op een bepaald adres, die leveranciers nodig hebben bij bjivoorbeeld verhuizingen of als jij overstapt van leverancier. Daarom moeten die leveranciers daar ook bij kunnen. Voorheen kon dat ook, alleen stonden die niet in een centrale database maar moesten ze die gegevens opvragen bij de huidige leverancier op dat adres. In dat 'oude' systeem kon precies ditzelfde gebeuren, ook daar werden die gegevens via een (gestandaardiseerde) API geautomatiseerd opgevraagd. Het zijn nou eenmaal gegevens die nodig zijn voor een energiecontract, en dus moeten leveranciers daar bij kunnen. Natuurlijk kun je dat dichttimmeren, maar dan wordt overstappen of verhuizen voor jou als consument een hel, omdat je gegevens moet aanleveren waarvan je in de verste verte niet weet dat die uberhaupt bestaan.
Even verder denken dan je aluhoedje groot is: contractdata staan nergens in een meter opgeslagen. Hoe komen die dan daar in te staan?
Even verder denken dan je aluhoedje groot is: contractdata staan nergens in een meter opgeslagen. Hoe komen die dan daar in te staan?
Ik denk heel wat verder dan mijn eigen en jouw alu hoedjes bij elkaar opgeteld!

Werden de gegevens maar in de meter opgeslagen. Die staat namelijk in mijn eigen huis en kan ik beveiligen. Probleem is juist dat de meter de gegevens naar het energiebedrijf opstuurt die ze vervolgens combineert met mijn contractgegevens, zodat er uiteindelijk iets als dit uitkomt

Domme meter:

OddesE
2015: 180KwH
2016: 182Kwk

Slimme meter:

OddesE
2015
1 jan: (00:00=0.23), (00:05=0.21), (00:10=0.20), ....
2 jan: (00:00=0.23), (00:05=0.21), (00:10=0.20), ....
...
2016
1 jan: (00:00=0.23), (00:05=0.21), (00:10=0.20), ....
....

In beide gevallen zal het verbruik aan het huishouden gekoppeld worden om er iets aan te hebben. Echter in het 2e geval heeft de hacker meteen een hele sloot aan gegevens waar je interessante patronen uit kunt gaan halen.
Klopt. Maar waar de datadiefstal in dit nieuwsbericht over gaat is het volgende: "jaarverbruik, type aansluiting de einddatum van de contracten en adresgegevens". Daar zit geen verbruik per tijdstip bij, wat voor het wijzigen van contracten ook niet bijzonder interessant is.

Het systeem in het nieuwsbericht is enkel bedoeld voor energieboeren om te kijken of je een aantrekkelijke klant bent op basis van je jaarverbruik, om te kijken wat voor aanbieding men je kan doen en of ze jouw boete voor het te vroeg overstappen moeten betalen.

Dat de rest van je data uit je slimme meter door hackers te achterhalen valt geloof ik wel, kwestie van tijd voordat op deze manier de huizen leeggeroofd gaan worden. Helaas heeft deze info niets met het bericht te maken.
Het systeem in het nieuwsbericht is enkel bedoeld voor energieboeren om te kijken of je een aantrekkelijke klant bent op basis van je jaarverbruik, om te kijken wat voor aanbieding men je kan doen
Zelfs dat niet, volgens mij. Ik dacht dat leveranciers alleen gegevens mogen opvragen als jij hebt aangegeven dat ze dat mogen, bijvoorbeeld bij een verhuizing of overstap van leverancier.

Dat het niet mag betekent uiteraard niet dat ze het ook niet doen ;)

[Reactie gewijzigd door Iknik op 14 september 2016 12:51]

Maar waar de datadiefstal in dit nieuwsbericht over gaat is het volgende
Stel ik grijp het Fukushima incident aan om te protesteren tegen nieuwe kerncentrales in NL. Ga je dan ook roepen 'dat heeft niks met elkaar te maken want Fukushima was een ander type centrale'?

Er wordt gewaarschuwd voor de gevaren van slimme meters: privacy
Vervolgens lekken de gegevens van 2 miljoen mensen uit
Vervolgens zeggen ik en anderen hier: Nu zie je waarom wij geen slimme meters willen (dit incident bewijst immers dat het privacy gevaar reëel is)
Vervolgens gaat iedereen hier over details bakkeleien terwijl het hoofdpunt (privacy gevaar bij verzamelen van gegevens is reëel) genegeerd wordt.

Mensen willen het niet snappen ga ik dan denken.
nee, die hele flauwe kul is door de leveranciers bedacht zodat mensen die geen behoefte hebben aan een 'gratis' ipad neuzelding structureel teveel betalen.
Lol. Dat kan je zelfs met een heel erg eenvoudig ziet autorisatie systeem voorkomen...
Mensen die een aantal jaren geleden tegen die 'slimme meters' waren (het blijft een debiele term, dat slimme voor vanalles) werden weggezet als ouderwets en paranoïde. We zien nu precies uitkomen waar toen zorgen over bestonden: diefstal van data waar vanalles uit af te leiden is. Dat die data waardevol is, is wel bewezen door analyse-onderzoeken van o.a. Google.
Geen idee waar jij denkt dat de data van "niet" slimme meters wordt opgeslagen....kortom, in beide gevallen ben je nu de sjaak.
Dat is niet te vergelijken. Ouderwetse energiemetingen werden alleen intern gebruikt bij de leverancier. De moderne systemen geven de gebruiker inzicht in (historisch) energieverbruik. Daarvoor zijn API's om vanaf een computer/tablet/telefoon bij dat soort gegevens te komen. Voorbeelden hiervan zijn het voormalige Google PowerMeter en Eragy, maar energiebedrijven bieden zelf ook dergelijke constructies. Als de verkeerde mensen per ongeluk toegang krijgen, of hackers zichzelf toegang verschaffen, dan ligt de data op straat. De kans dat dat vroeger gebeurde was nihil, tenzij je malafide werknemers bij een leverancier zelf had werken.
In het artikel staat 'De gegevens staan geregistreerd in een centraal register.'. Dit register is door alle energieleveranciers in te zien. Het heeft niets te maken met de data van slimme meters.
Hoe jij er bij komt dat 'ouderwetse energiemetingen' alleen intern gebruikt worden? Deze gegevens staan dus ook in die centrale database...
Ouderwetse energiemetingen werden alleen intern gebruikt bij de leverancier.
Je haalt hier twee dingen door elkaar, namelijk de database waar het hier om gaat (CAR) en de gegevens die de leverancier over jou heeft.

De kosten die jij betaalt voor een aansluiting bestaan voor een deel uit onderhoudskosten voor het netwerk, meterhuur en dat soort dingen, en voor een ander deel uit je verbruik. Het eerste deel wordt in rekening gebracht door de netbeheerder, het tweede door jouw energieleverancier. Wat de netbeheer-kosten zijn is onder meer afhankelijk van de regio waar je woont en de maximale capaciteit van je aansluiting.

Nu heeft de overheid in al zijn wijsheid bedacht dat de consument die beheerkosten niet meer direct aan de netbeheerder betaalt, maar aan de leverancier, die dat weer doorgeeft aan de netbeheerder. Zo heb jij als consument maar met 1 partij te maken in plaats van met twee.

Maar dan moet die leverancier natuurlijk wel die technische gegevens over jouw aansluiting weten, anders weten ze niet hoe veel ze bij jou moeten innen namens de netbeheerder. Die gegevens krijgen ze, via die centrale database, van de netbeheerder. Diezelfde database bevat nog wat andere data, zoals jouw laatste jaarverbruik en de einddatum van jouw huidige contract. Als jij dan wilt overstappen van leverancier, of verhuist naar een nieuw adres, kijkt de nieuwe leverancier in die database, en heeft daarmee alle gegevens om je voorschot te berekenen (plus eventuele boete als je overstapt terwijl je huidige contract nog niet is afgelopen).

Is er nu verschil ten opzichte van 'ouderwetse' metingen? Nee, niet echt. Vroeger (of in ieder geval sinds de liberalisering van de energiemarkt in 2004) hadden leveranciers exact diezelfde gegevens nodig en die konden ze ook gewoon opvragen - alleen niet uit een centrale database, maar bij twee verschillende partijen (namelijk, je oude leverancier en je netbeheerder).
De moderne systemen geven de gebruiker inzicht in (historisch) energieverbruik. Daarvoor zijn API's om vanaf een computer/tablet/telefoon bij dat soort gegevens te komen. Voorbeelden hiervan zijn het voormalige Google PowerMeter en Eragy, maar energiebedrijven bieden zelf ook dergelijke constructies.
Dat is zo, maar die gegevens komen niet uit het CAR, maar bij je eigen leverancier vandaan, en dat is dus niet de database waar dit artikel over gaat.

[Reactie gewijzigd door Iknik op 14 september 2016 13:19]

Vind het grappig dat de organisatie die hier achter zit anoniem mag blijven terwijl hij zelf 2 miljoen persoon gegevens steelt. 8)7
Inderdaad, gewoon belachelijk. Een bedrijf die zulke diefstal pleegt dient gewoon in de media genoemd te worden zodat je weet met well bedrijf je niet in zee mag gaan.
Het is een ex werknemer van een bedrijf die ontslagen is, uit rancune data meeneemt voor wat voor doeleinden dan ook.
Vreemd dat ex-werknemers nog toegang kunnen krijgen. Heeft waarschijnlijk iemand lopen slapen.
Er wordt nu wel heel veel bij verzonnen. Wat er staat dat een medewerker van een energieleverancier een buitensporig groot aantal aanvragen gedaan heeft, toen deze in dienst van van de energieleverancier. Inmiddels is deze medewerker niet meer in dienst. Er loopt een zaak waarin de database beheerder van de energieleverancier eist dat die data wordt weggegooid.
Er ligt dus geen data op straat maar bij een energieleverancier.
Lekker schimmig. Nu ja, bij het kort geding zal man en paard genoemd worden.
Ook raar dat er een kort geding nodig is.

Immers als het een enkele medewerker die op eigen houtje tegen de bedrijfsregels in deze data gestolen heeft, ontsla je inderdaad de werknemer en vernietig je de data en verleen je volledige medewerking met eventuele (strafrechtelijke) onderzoeken.

Als er een kort geding nodig is, lijkt het 'onbekende' bedrijf het toch ook wel op zijn minst interesant te vinden die data nu te hebben.
"Wat houdt verwerken van persoonsgegevens in?
Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen." https://autoriteitpersoon...wat-zijn-persoonsgegevens

Het zou kunnen dat deze partij momenteel liever gedwongen wordt tot verwijdering van de gegevens door een rechter dan ze uit eigen iniatief te gaan vernietigen. Vernietiging is namelijk ook een vorm van verwerken. (Dus dat zou een tweede verwerking zijn bovenop het verkrijgen.) Bovendien kan het zijn van de Authoriteit Persoonsgegevens nog vragen gaat stellen waarvoor de data (deels) nodig zijn...

Niet zo gek hoor dat dit met een kort geding wordt afgedaan.

[Reactie gewijzigd door Cbr op 13 september 2016 21:25]

Opslaan is ook een vorm van verwerken, dus als ze zich daar zorgen over maken doen ze er beter aan die gegevens wel te vernietigen, voordat de AP gaat vragen waarom ze die gegevesns die ze niet horen te hebben niet vernietigd hebben.
Ik ben erg benieuwd of dit lek op enige manier te maken heeft met de implementatie en gebruik van slimme meters.
Nee, op geen enkele manier.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True