Toezichthouders constateerden onvoldoende controle al voor diefstal energiedata

Maanden voordat de energiedata van twee miljoen Nederlanders door een energieleverancier werd gestolen, waarschuwden toezichthouders al dat er onvoldoende controle plaatsvond op het gebruik van de databases. Ook droegen zij de netbeheerders op beveiligingsmaatregelen te treffen.

De Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens doen al sinds begin dit jaar onderzoek naar het beheer en de inrichting van de databases waarin de energiedata van Nederlanders staat opgeslagen. Dat blijkt uit een brief van minister Henk Kamp van Economische Zaken die is gericht aan de Tweede Kamer.

In mei, maanden voordat de energiedata van twee miljoen aansluitingen werd gestolen, constateerden de toezichthouders al dat de netbeheerders onvoldoende controle uitvoerden op het gebruik van de databases. ACM en AP hebben destijds opgedragen om direct passende beveiligingsmaatregelen te treffen.

Volgens de brief van Kamp zijn de netbeheerders vanaf juni gestart met het in de gaten houden van opvragingen uit de registers. Vervolgens werd in september geconstateerd dat een energieleverancier in augustus opvallende hoeveelheden data had opgevraagd uit de databases. De netbeheerders deden navraag bij de leverancier, waardoor bleek dat de data ten onrechte was opgevraagd door een ex-medewerker van het bedrijf.

Sinds 15 september verstrekken de netbeheerders lijsten met de betrokken aansluitingen aan de bijbehorende energieleveranciers. Dat moet consumenten de mogelijkheid geven om bij hun eigen leverancier na te gaan of hun gegevens vrijgekomen zijn bij het datalek.

Door de monitoring werd ook geconstateerd dat bij een aantal leveranciers een onjuiste procedure is gevolgd bij opvragingen. Het is niet bekend om welke leveranciers het gaat, maar alle voorvallen zijn gemeld aan de Autoriteit Persoonsgegevens. Die zal moeten bepalen of er nader onderzoek nodig is en of er maatregelen getroffen moeten worden.

Volgens Kamp hebben de netbeheerders na de datadiefstal direct maatregelen getroffen. De monitoring van de databases is geïntensiveerd en er wordt nu op dagbasis gecontroleerd of er geen opvallende uitvragingen plaatsvinden. Ook doet een onderzoeksbureau bij de betreffende energieleverancier een onderzoek om te kijken of de processen voldoen aan de Wet Bescherming Persoonsgegevens.

Inmiddels hebben de netbeheerders op aandringen van de toezichthouders verbetervoorstellen ingediend voor het beheer en de inrichting van de databases. De ACM en AP zullen bepalen welke maatregelen nodig zijn en hoe deze uitgevoerd zullen worden. Kamp zegt de Kamer daarover te informeren zodra er meer duidelijk is over de aanpak van de toezichthouders.

IT-banen

Reacties (93)

CAPSLOCK2000

Autoriteit Persoonsgegevens
Datalek
Economie en maatschappij
ACM

5 oktober 2016 12:08

Is er iemand verbaasd?
Hoe vaak is er wel niet gewaarschuwd voor stomme meters die hun data op een achterlijke manier naar internet pushen?

Ik hoop dat de betrokken directeuren flink gestraft gaan worden. Wie dit niet heeft zien aankomen is incompetent en niet geschikt voor z'n vak. Ja, digitale veiligheid is tegenwoordig zo belangrijk dat het de directe verantwoordelijkheid van de directeur hoort te zijn.

Ruud2001 @CAPSLOCK2000 • 5 oktober 2016 12:29

Dit heeft helemaal NIETS met slimme/stomme meters te maken, maar alles met het "Centraal Aansluitregister" (C-AR).

jeanj @Ruud2001 • 7 oktober 2016 16:43

En een slimme meter stuurt alles door naar het c-ar, ook als je de meter "uit" hebt laten zetten. Dus als iemand toegang krijg, ligt toch je data op straat...

Dreanor @CAPSLOCK2000 • 5 oktober 2016 12:17

Het is mij niet duidelijk of het gestolen is uit/door de "slimme" meters of juist de database erachter? Dus dat het zowel data is van "slimme" als ouderwetse meters is?

Nu is het wel zo dat mijn oude meter 1x per jaar een meterstand in het systeem heeft staan en de "slimme" meters bijna real-time verbruik in het systeem hebben staan.

[Reactie gewijzigd door Dreanor op 27 juli 2024 14:27]

FlowDesign @Dreanor • 5 oktober 2016 12:45

Even voor de mensen die maar wat populairs boeroepen over slimme meters maar duidelijk niet weten waar ze het over hebben:

Met de beveiliging van de Slimme Meters en het systeem waar deze data wordt opgeslagen (het zogeheten Centraal AansluitRegister C-AR) is an sich niets mis, dat is gewoon goed beveiligd.
Het probleem waar het in zit lag in dit geval niet aan de beveiliging van het systeem zelf maar aan de procedures, regels en afspraken tussen Netbeheerders, Energieleveranciers en EDSN.
Een ex-werknemer van één Energieleverancier kon blijkbaar nog steeds inloggen op het C-AR en daar met zijn/haar inloggegevens verbruiksdata ophalen van heel veel meters (huishoudens).

Het feit dat die ex-werknemer nog steeds kon inloggen is natuurlijk slecht, maar een procedurele fout.
Dat een werknemer van een energieleverancier data op kan halen van meters die niet bij die energieleverancier horen is tevens een procedurele fout, dat komt omdat een energieleverancier data op mag halen van klanten van andere leveranciers om te bepalen of zij een klant aan willen nemen als nieuwe klant of niet. Dat proces mag dus wel eens kritisch naar gekeken worden.

Het is gewoon een ordinaire diefstal van gegevens geweest omdat de procedures niet helemaal optimaal zijn ingericht en blijkbaar teveel vrijheden toelieten waar sommige mensen niet mee om kunnen gaan (lees: misbruik van hebben gemaakt).
De beveiliging van de slimme meters en het C-AR op technisch niveau heeft hier in feite dus niets mee van doen.

Madden @FlowDesign • 5 oktober 2016 12:59

Met de beveiliging van de Slimme Meters en het systeem waar deze data wordt opgeslagen (het zogeheten Centraal AansluitRegister C-AR) is an sich niets mis, dat is gewoon goed beveiligd.

Over de beveiliging van het C-AR kan/zal ik geen uitspraak doen, maar over de veiligheid van slimme meters is nog wel wat te zeggen. Zo kunnen ze gehacked worden (zoals een energieleverancier in Puorto Rico gemerkt heeft: https://www.security.nl/p...+energiebedrijf+miljoenen. Ook dichter bij huis, in Spanje, is iets dergelijks gebeurd: https://www.elektrotechni...emeter-mogelijk-te-hacken. En dan nog met droge ogen durven beweren dat het hier in Nederland niet voor zou kunnen komen (of, bijna niet).

Dat een werknemer van een energieleverancier data op kan halen van meters die niet bij die energieleverancier horen is tevens een procedurele fout, dat komt omdat een energieleverancier data op mag halen van klanten van andere leveranciers om te bepalen of zij een klant aan willen nemen als nieuwe klant of niet. Dat proces mag dus wel eens kritisch naar gekeken worden.

Ik heb begrepen dat dit kan/mag wanneer een klant wil overstappen van leverancier A naar leverancier B. Dan mag de nieuwe leverancier de adres- en verbruiksgegevens van de overstapper uit C-AR opvragen.
Dat zou betekenen dat dit proces dus wel is toegestaan; alleen niet voor 2 miljoen huishoudens tegelijk natuurlijk. Waarschijnlijk ook de reden waarom er geen alarmbellen zijn gaan rinkelen, want het betrof een legitieme actie (het opvragen dan, niet de aantallen opvragingen).

CAPSLOCK2000

Autoriteit Persoonsgegevens
Datalek
Economie en maatschappij
ACM

@FlowDesign • 5 oktober 2016 15:59

Ik vind het een erg typische reactie. Zo gaat het nu altijd. Technische gezien is het allemaal super geregeld maar helaas hadden we er niet aan gedacht dat mensen wel eens fouten maken.

Mensen maken altijd fouten. Als je daar geen rekening meer hebt gehouden dan is je beveiliging niet in orde. In praktijk zien we het aan de lopende band fout gaan. Toch blijft de hele wereld zich naief opstellen en denkt dat het hun niet zal overkomen.

Dat andere energieleveranciers ook bij de gegevens mogen is voor mij nieuws. Dat geeft toch al aan dat het systeem niet echt veilig is. Blijkbaar is alle data toegankelijk voor alle energieleveranciers en moeten we er maar op vertrouwen dat die daar eerlijk mee om gaan en nooit fouten maken.

Adri Frijters @CAPSLOCK2000 • 5 oktober 2016 22:53

Waarom dan nog verschillende leveranciers, verschillend opgemaakte rekeningen en verschillende prijzen per eenheid als het allemaal uit de zelfde excel komt.

Madden @CAPSLOCK2000 • 5 oktober 2016 12:23

Misschien moet je je iets meer verdiepen in wat er nu echt gebeurt is....

Hoe vaak is er wel niet gewaarschuwd voor stomme meters die hun data op een achterlijke manier naar internet pushen?

Het gaat namelijk niet over de data van slimme meters, maar over de registratie van contracten en jaarverbruiken.

Ik hoop dat de betrokken directeuren flink gestraft gaan worden.

Hm. Denk dat ik je daar wel antwoord op zou kunnen geven, maar net als de rest van Nederland kennen wij dat al....

Ja, digitale veiligheid is tegenwoordig zo belangrijk dat het de directe verantwoordelijkheid van de directeur hoort te zijn.

Liever niet. Graag een afdeling of team dat gespecialiseerd is in beveiliging, in plaats van een allround bobo die er helemaal niets van weet en die je alles wijs kunt maken. Die afdeling of dat team legt dan natuurlijk wel verantwoording af aan de directie of het MT, dat wel.

tweaknico @Madden • 5 oktober 2016 19:02

Verantwoordelijkheid != uitvoering....
Dus wel verantwoordelijkheid op directie niveau...., en uitvoering onder toezicht van die directie door een afdeling met capabel personeel MET MANDAAT

stresstak @CAPSLOCK2000 • 5 oktober 2016 13:02

Is er iemand verbaasd?
Hoe vaak is er wel niet gewaarschuwd voor stomme meters die hun data op een achterlijke manier naar internet pushen?

Dat heeft er nu niet mee te maken. Er is een database en die mag worden geraadpleegd. Legitiem. Het is alleen niet de bedoeling dat alle data tegelijkertijd wordt opgevraagd door een persoon of instantie. En dat is wel gebeurd.

CAPSLOCK2000

Autoriteit Persoonsgegevens
Datalek
Economie en maatschappij
ACM

@stresstak • 5 oktober 2016 16:02

Dat heeft er nu niet mee te maken. Er is een database en die mag worden geraadpleegd. Legitiem. Het is alleen niet de bedoeling dat alle data tegelijkertijd wordt opgevraagd door een persoon of instantie. En dat is wel gebeurd.

Dat heeft er wel mee te maken, ik namelijk ben tegen die centrale database. Het is wettelijk misschien wel toegestaan maar daarom vind ik het nog geen goed idee. Ik vind het zelfs een erg slecht idee omdat ik, en vele anderen met mij, hebben voorspeld dat het vroeg of laat mis zou gaan met de beveiliging van dit systeem.

stresstak @CAPSLOCK2000 • 5 oktober 2016 16:11

Dat heeft er wel mee te maken, ik namelijk ben tegen die centrale database.

Allerhande instanties hebben een (centrale) database. De Belasting, de Bank, de RDW.
Het probleem hier is niet de beveiliging per se, maar het feit dat iemand gegevens kan opvragen en daarin niet gelimiteerd is.

CAPSLOCK2000

Autoriteit Persoonsgegevens
Datalek
Economie en maatschappij
ACM

@stresstak • 5 oktober 2016 16:34

Allerhande instanties hebben een (centrale) database. De Belasting, de Bank, de RDW.

Dat iedereen het doet maakt het nog geen goed idee. Ik ben niet tegen alle centrale systemen maar ben wel zeer kritisch. We hebben met z'n allen last van een enorme verzamelwoede. We verzamelen veel te veel.

Het probleem hier is niet de beveiliging per se, maar het feit dat iemand gegevens kan opvragen en daarin niet gelimiteerd is.

Volgens mij is dat nu net de essentie van beveiliging: bepalen wie gegevens mag inzien en wie niet. Of de fout nu technisch of sociaal is maakt niet uit, het blijft een beveiligingsprobleem.

Op de een of andere manier is er altijd een excuus. Als het probleem technisch is dan mag ik niet klagen want het is maar een bugje dat even verholpen moet worden. Als het probleem sociaal is dan mag ik niet klagen want het is een menselijke fout en geen technische. Daarmee gaan we totaal voorbij aan de praktijk waarin voortdurend data op straat komt te liggen. Wat de reden ook is, centraal verzamelde data is kwetsbaar en we weten domweg nog niet hoe we het wel goed moeten beveiligen. Tot we hebben geleerd om daar mee om te gaan moeten we het gewoon niet doen, of op z'n minst bijzonder terughoudend zijn met het verzamelen van gegevens en het aanleggen van databanken (al dan niet centraal).

stresstak @CAPSLOCK2000 • 5 oktober 2016 16:44

Dat iedereen het doet maakt het nog geen goed idee. Ik ben niet tegen alle centrale systemen maar ben wel zeer kritisch.

Instanties en zo hebben een bestand.
Iemand mag er in kijken.
Indien ongelimiteerd dan mag je alles bekijken.
En dat is gebeurd.

Anoniem: 412052 @CAPSLOCK2000 • 5 oktober 2016 16:35

die database is er om te voorkomen dat mensen dubbele leveranciers krijgen en dat de leveranciers een juist maandbedrag kunnen maken.

styno

Energie

@CAPSLOCK2000 • 5 oktober 2016 12:17

Pushen is nog één ding, het wordt nóg interessanter wanneer de meters op afstand af te sluiten zijn via een webapi

Paralectic 5 oktober 2016 12:04

Grappig hoe dit diefstal wordt genoemd, wanneer er simpelweg een aanvraag naar de API is gedaan om de gegevens binnen te halen.

Ook wel een beetje mosterd na de maaltijd om nu pas de monitoring te intensiveren..

Overlord2305 @Paralectic • 5 oktober 2016 12:07

Klopt, maar liever laat dan nooit, het beste is natuurlijk dat ze het standaard gewoon doen, maar aangezien het hier om een overheid gaat ben ik al lang blij dat er nu iets aan wordt gedaan.

Madden @Overlord2305 • 5 oktober 2016 12:26

Hoezo overheid? Energiebedrijven zijn (voor zover ik kan nagaan) private partijen.

Enige overheid hierbij betrokken is de ACM, die de spelers op de energiemarkt controleert.

[Reactie gewijzigd door Madden op 27 juli 2024 14:27]

Overlord2305 @Madden • 5 oktober 2016 13:09

Daar hadden ze de data toch 'gestolen'? of was dit een andere organisatie?

Madden @Overlord2305 • 5 oktober 2016 13:15

Nee. De C-AR database is een initiatief van alle netbeheerders in Nederland, en niet van de overheid. Meer info: http://www.deenergiegids....nsluitingen-Register.aspx

Overlord2305 @Madden • 5 oktober 2016 13:16

Ok, foutje.

Kraay89

@Paralectic • 5 oktober 2016 12:10

Ook wel een beetje mosterd na de maaltijd om nu pas de monitoring te intensiveren..

Helemaal niet. De monitoring wordt geïntensiveerd om meer zicht te houden op ongeoorloofde dataopvraging. Nu en in de toekomst.

Jason X @Paralectic • 5 oktober 2016 12:05

Moet gelijk denken aan het argument dat een film downloaden ook geen diefstal is, omdat het origineel niet is weggenomen. Dit is dus ook geen diefstal, volgens die logica.

Harrie_ @Jason X • 5 oktober 2016 12:23

De vergelijking met het downloaden van een film klopt niet helemaal; dat mag simpelweg niet en is duidelijk een overtreding van de wet. Ik ben het eens met Paralectic dat het inderdaad nogal grappig is dat men dit diefstal noemt.

De API is voor energieleveranciers gewoon beschikbaar waarbij het de 'bedoeling' is dat er data van een persoon/gezin opgevraagd kan worden, een energieleverancier heeft echter data opgevraagd van 2 miljoen huishoudens. Als je dan een vergelijking wil maken die wel min of meer klopt: Je komt bij de Jumbo waar een proefstand met cake staat; je eet vervolgens 140 stukken cake op en de manager komt je betichten van diefstal.

Dit is allerminst netjes te noemen, maar om het dan diefstal te noemen gaat ook wel erg ver.

edit: typo

[Reactie gewijzigd door Harrie_ op 27 juli 2024 14:27]

otandreto @Harrie_ • 5 oktober 2016 13:07

@Para, Jason, McLatey.

Dat het diefstal genoemd wordt is overigens juist.

Definitie Diefstal:
"Het wederrechtelijk toe-eigenen van zaken die aan een ander toebehoren."

Dit kan kan je vrij vertalen naar :
"Het wederrechtelijk toe-eigenen van zaken die niet van jou zijn."

Het is namelijk het wederrechtelijk toe-eigenen van informatie die niet van jou is of niet voor jou bedoelt is. Daar wordt niet gesproken over het wegnemen en dus als je niet in je recht staat wanneer je dat kopieert, is het dus feitelijk diefstal.

Hoe je het beestje uiteindelijk noemt maakt natuurlijk niet uit. Ze hebben iets gedaan wat niet mag, punt. Zeker als je weet dat het niet hoort.

(Niet helemaal hetzelfde, maar bij het stelen van bedrijfsgeheimen neem je origineel ook niet weg. Maar wordt wel gezien als diefstal.)

Xanaroth @otandreto • 5 oktober 2016 14:05

Jij geeft mij het wachtwoord van jouw pc, met toestemming om foto's te kopieren die ik mooi vindt, naar mijn PC. Volledig legale toegang dus met zeer algemene omschrijving.
Vervolgens kopieer ik alle foto's ipv enkel degene die aan het criteria voldoen. Het criteria is immers subjectief en niet objectief/kwantificeerbaar, je kan nooit bewijzen dat ik ze niet mooi vindt. Dus nergens heb ik de exacte regel overtreden, hooguit is er een breuk in vertrouwen.

Wat dit dus niet is is diefstal, hacken of wat dan ook. Toegang tot de bestanden is toegestaan, de handeling ook. Fout ligt dus eigenlijk volledig bij degene die de gegevens beschikbaar stelt, want die heeft het misbruik niet voldoende afgedekt.

Verder : Kritisch voor diefstal is het wegnemen van iets. Per definitie kan dus elke vorm van kopie in online omgevingen (foto's, films, gegevens etc) nooit een diefstal zijn.

Dat aftappen of kopiëren van gegevens niet als "diefstal" wordt aangemerkt, heeft vooral een juridisch-technische reden: gegevens in een computerbestand worden niet gezien als "zaken" die kunnen worden weggenomen. Zonder wegnemen kan er geen sprake van diefstal zijn. Wat meestal gebeurt is dat de inbreker de gegevens kopieert naar zijn eigen systeem, en ze zo zelf kan gebruiken of aan derden kan doorgeven. De oorspronkelijke eigenaar heeft ze dan nog steeds. Het enige dat hij kwijt is, is de exclusieve toegang tot de gegevens.

Computergegevens zijn geen "zaken" in de zin van de wet, en kunnen dus niet worden gestolen. Dat blijkt uit een arrest van de Hoge Raad (december 1996, NJ 1997, 574). .

[Reactie gewijzigd door Xanaroth op 27 juli 2024 14:27]

3raser @otandreto • 5 oktober 2016 13:18

Volgens mij mis je het feit dat het hier om een legale API ging die daadwerkelijk voor dit doel gebruikt mocht worden. Er werd alleen niet bij verteld hoe vaak je gebruik mocht maken van die API. De betreffende persoon heeft simpelweg heel vaak gebruik gemaakt van een faciliteit die hem werd geboden. Is dat illegaal? Dat hangt er vanaf of er een overeenkomst is afgesloten over het gebruik van de API. Als die er niet is had de API simpelweg een limiet per dag of uur moeten hebben waardoor dit soort zaken niet mogelijk zijn.

Het voorbeeld van McLatey over de cake is daarom ook een heel goed voorbeeld. Je doet iets wat niet netjes is, maar het is allesbehalve strafbaar.

bbob

Economie en maatschappij

@3raser • 5 oktober 2016 14:17

Ja het is illegaal want ik ga er toch echt van uit dat de bedrijven die via de api opvragen deze data alleen voor interne doeleinden mogen gebruiken.
Zo zal een medewerker deze niet op een usb stick mogen opslaan en mee naar huis nemen, laat staan verkopen of anders gebruiken dan waarvoor de api bedoeld is.

Dat er geen limiet op de api zit is, is eigenlijk al een grote fout waarbij je je moet afvragen welke amateur dit heeft opgezet. Heb je een beetje verstand en kun je nadeneken dan zit er een limiet op en als die er niet op zit in ieder geval een systeem dat een admin een waarschuwing geeft als een gebruiker heel veel informatie opvraagt.

Ze kunnen denk ik ook zien hoeveel data een gemiddelde gebruiker per dag/week opvraagt en wijk je daar zeg 300% van af, op slot en een admin moet je dan weer toegang geven.

Anoniem: 412052 @bbob • 5 oktober 2016 16:23

een limit is misschien wat lastig, want anders heb je kans dat de klanten van de leverancier niet hun aanmelding kunnen voltooien of niet op tijd hun maandbedrag. Er zijn overigens wel regels voor het opvragen, het is alleen lastig om dit te controleren

WillySis

Autoriteit Persoonsgegevens

@bbob • 5 oktober 2016 16:26

De netbeheerder gaat ook de fout in. Deze heeft de plicht om privacy gevoelige data adequaat af te schermen. In plaats daarvan stelt het een api beschikbaar waarmee de gegevens onbeperkt op te halen zijn.

Ik zou zeggen, men was gewaarschuwd en het wordt nu wel eens tijd dat er serieus werk gemaakt wordt van al het lekken van onze privacygevoelige informatie. Tot nu toe werd er alleen met een bestraffend vingertje gezwaaid, maar er mogen (ik vind moeten) hoge boetes worden uitgedeeld.

JayBison @otandreto • 5 oktober 2016 13:53

Mwah, juridisch niet helemaal waar volgens mij otandreto. Juridisch gezien is voor diefstal wel degelijk het wegnemen vereist en niet enkel het toe-eigenen. (Verschil met dagelijks taalgebruik). Beslissend voor wegnemen is dat je het ook aan de 'feitelijke heerschappij van de rechthebbende' hebt onttrokken. Dat is nu niet het geval omdat zowel de netbeheerder, als energieleverancier nog over de gegevens beschikken. Daarom hebben we ook aparte strafbaarstellingen voor het aftappen/kopiëren van gegevens sinds de (enorm achterhaalde) wet computercriminaliteit (II). (Niet dat ik blij ben met de plannen voor numero III, zoals de plannen er nu voor zijn).

Het is volgens mij alleen een onrechtmatige inzage in persoonsgegevens, wellicht een verwerking als hij iets met de gegevens heeft gedaan. Volgens mij is de enkele onrechtmatige inzage niet strafbaar (alleen het recht is geregeld in 35 Wbp), onrechtmatige verwerking kan het CBP/AP wel bestraffen?

regmaster @otandreto • 6 oktober 2016 06:38

Misschien moet je art. 310 WvSr. er eens bij pakken want dit artikel beschrijft namelijk nog meer dan het simpele regeltje dat jij hier neer zet. Er staat namelijk:

Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie

.
Er moet sprake zijn van wegnemen, wat een fysieke handeling impliceert. Bijvoorbeeld een copie van een database of van een film maken is geen wegnemen want het origineel wordt niet weggenomen, dat geldt eigenlijk voor alle niet materiële zaken.

[Reactie gewijzigd door regmaster op 27 juli 2024 14:27]

bArAbAtsbB @Harrie_ • 5 oktober 2016 13:27

als iemand geen toestemming heeft is het toch gewoon diefstal!?

supersnathan94

Datalek

@bArAbAtsbB • 5 oktober 2016 17:33

Martijn Boelhouwer, woordvoerder van Netbeheer Nederland, laat aan Tweakers weten dat een medewerker van de energieleverancier de data van twee miljoen huishoudens heeft opgevraagd via een systeem. De betreffende medewerker zou dergelijke data mogen inzien, maar had nooit een dergelijke hoeveelheid gegevens moeten opvragen.

De toegang was er dus gewoon.

regmaster @bArAbAtsbB • 6 oktober 2016 06:59

Nee, hooguit onrechtmatig gebruik.

bArAbAtsbB @regmaster • 6 oktober 2016 09:43

gebruik als hij de gegevens alleen inziet....als hij de data download...diefstal!

Anoniem: 525224 @Paralectic • 5 oktober 2016 13:06

Ja.. dat zei ik ook meteen bij het vorige artikel. Het was geen echte diefstal en een verhaaltje om verantwoordelijkheden af te schuiven.

Als je alle markt gegevens aanbiedt aan een commerciële partij, die heel erg actief is met marketing..
Beetje vergelijkbaar met een open krat vers brood buiten bloot laten liggen met een hongerige dakloze voor het gebouw..

Elk uur komt de bakker naar buiten om even 'foei' te zeggen. Het jammere van dit voorbeeld is dat een brood meenemen gewoon diefstal is.. maar ff terzijde.

CivLord

@Paralectic • 5 oktober 2016 15:03

Grappig hoe dit diefstal wordt genoemd, wanneer er simpelweg een aanvraag naar de API is gedaan om de gegevens binnen te halen.

Het juiste gebruik van die api zal beschreven zijn en en het zal gelimiteerd zijn tot het navragen van gegevens van een nieuwe klant, om een schatting voor het maandbedrag te maken en om het contract van de voorgaande energieleverancier op te kunnen zeggen.
Meer informatie opvragen is tegen de regels en dus illegaal.

Vergelijk het met een kassalade. Een kassier is bevoegd om de lade te openen en een klant wisselgeld te geven. Maar dat betekent niet dat wanneer die kassier willens en wetens extra geld teruggeeft dat geen diefstal zou zijn.
Of een ander leuk voorbeeld. Jouw energieleverancier is gemachtigd om het maandbedrag automatisch van je rekening af te laten schrijven. Ook d.m.v. een soort api. Zou het dan geen diefstal zijn wanneer het energiebedrijf bewust simpelweg een aanvraag naar die api doet om tienmaal het maandbedrag af te laten schrijven?

Wanneer jij geen recht hebt om iets te pakken en je pakt het toch, dan is dat diefstal. Hoe eenvoudig het ook voor je is om het te pakken.

monojack 5 oktober 2016 12:03

en wat is het nut eigenlijk van die data? In België is er momenteel veel heisa over spionage van electiciteitsdata. Maar wat is het nut van zulke data?

kaaas @monojack • 5 oktober 2016 12:15

Kijken wanneer je thuis bent om om een inbraak te plannen.

Madden @kaaas • 5 oktober 2016 12:28

Nope. Knappe kop die op basis van dat gestolen jaarverbruik kan bepalen wanneer ik wel en niet thuis ben. $_/-\o_$

Het gaat dus alleen om jaarverbruiktotalen, niet om detailmetingen van slimme meters e.d.

kaaas @Madden • 5 oktober 2016 13:13

Aah ok dat had ik niet door. Dat zou inderdaad verdraaid knap zijn.

hackerhater @Madden • 5 oktober 2016 16:06

Hoog verbruik wijst wel op de aanwezigheid van flink wat apparatuur.......

Madden @hackerhater • 5 oktober 2016 20:38

Nou....dan denken ze zeker dat ik heel wat apparatuur heb staan....en vast niet dat het om een oude vriezer in mijn schuur gaat die al een hele tijd ongemerkt meer en meer stroom is gaan slurpen....

Maar zonder gekheid, dat soort informatie zul je volgens mij niet of nauwelijks kunnen afleiden uit jaarverbruiken.

Whoisbacknow @monojack • 5 oktober 2016 12:08

Dat ze je kunnen spammen met nieuwe energieaanbiedingen

MrX_Cuci @Whoisbacknow • 5 oktober 2016 13:07

Per email mag dat in ieder geval niet. Tenzij ze graag een claim aan hun broek willen. Ik ga er gemakshalve maar even vanuit dat ik nooit klant ben geweest van de bewuste leverancier.

Whoisbacknow @MrX_Cuci • 5 oktober 2016 23:27

Maar dat de gegevens misbruikt worden kun je de klok op gelijk zetten... Er zijn ook van die mannetjes die van deur tot deur gaan, daarvoor kan het ook erg handig zijn!

bArAbAtsbB @monojack • 5 oktober 2016 13:26

dieven kunnen kijken wanneer iemand op vakantie is...of naar bed gaat....er is best veel uit af te leiden namelijk!

TheFlexos 5 oktober 2016 12:05

Zo gaat dat toch altijd?

Veranderingen komen pas als er iets mis gaat, niet als dat nodig is.
Tenzij wettelijk is bepaald of er geld verdient word natuurlijk.

Anoniem: 382732 @TheFlexos • 5 oktober 2016 12:52

En op zich is dat helemaal niet zo erg. Het zou wat zijn als we vantevoren alles wat eventueel fout zou kunnen gaan al in regelgeving gaan vastleggen. Dan komt er nooit meer wat van de grond en we komen om in bureaucratie.

AronB @TheFlexos • 5 oktober 2016 13:56

Nou ja, veranderingen die wel gewoon op tijd zijn doorgevoerd en hebben gezorgd dat iets niet is misgegaan komen nou eenmaal niet in het nieuws.

Alleen als het misgaat is het nieuwswaardig.

Over alle bedrijven waar ze hun data wel gewoon netjes beschermen hoor je gewoon nooit iets.

Anoniem: 582717 5 oktober 2016 13:00

D`r is kennelijk een centraal systeem waar je mag querien als energie leverancier naar verbruiksdata en andere gegevens van de eindgebruikers, echter op de hoeveelheid queries staat kennelijk geen limiet. Oftewel er is een slimme medewerker geweest die een scriptje heeft geschreven die gewoon het hele centrale register heeft "leeggetrokken"".

En de ACP en AP hadden dit al als issue gevonden, echter de beheerders van de centrale database hebben dit nooit dichtgezet.

Vroeger zat er gewoon bij energieleverancier x een medewerker van energieleverancier y in dienst.
Soort van bedrijfspionage. Nu proberen ze het kennelijk anders.

GoT.Typhoon 5 oktober 2016 12:18

Noem het beestje gewoon bij de naam, de leverancier die de data heeft opgevraagd betreft Nuon/Vattenfal. Zij hebben exact 2 miljoen klanten en hebben automatisch deze gegevens op laten vragen. Altijd dat schimmige gedoe, hou daar niet zo van.

[Reactie gewijzigd door GoT.Typhoon op 27 juli 2024 14:27]

Madden @GoT.Typhoon • 5 oktober 2016 12:40

Je hebt bewijs hiervoor denk ik? Anders dan de hoeveelheid abonnees van Nuon (en het vermoedelijke aantal opgevraagde klantgegevens uit de C-AR database)? Plus, hoe weet jij zo precies dat Nuon 2 miljoen klanten heeft? Maken ze dat tegenwoordig openbaar?

Het lijkt mij nogal onzinnig van/voor Nuon om de gegevens van haar eigen klanten te downloaden. Die hebben ze immers al?

Het zal waarschijnlijk eerder gaan om een andere aanbieder die op deze manier gerichtere aanbiedingen kan (gaan) doen. Klanten afsnoepen, dat idee.
En omdat het kennelijk door een ex-medewerker gedaan is, zou het mij niets verbazen als die ex-medewerker naar de concurrent verhuist is, en zijn overstap voor zijn nieuwe werkgever interessanter gemaakt heeft door de gegevens van 2 miljoen abonnees van zijn oude werkgever mee te nemen.

Madden @GoT.Typhoon • 5 oktober 2016 13:12

Beste. Dat Nuon ongeveer 2 miljoen klanten heeft is algemeen bekend en anders gemakkelijk online te vinden http://www.energiebusines...klanten-in-een-jaar-tijd/

Dat is wel een erg oud artikel (4 jaar!?) dus relevant: nee. Ze hebben namelijk het afgelopen jaar volgens de Energiebarometer weer flink wat mensen laten overstappen vanwege hun aantrekkelijke acties. Maar goed.

Daarnaast is de data zeker voor Nuon wel interessant, omdat deze data anders bij de netbeheerder blijft liggen (zoals Liander). Kennis is macht en Nuon heeft er dan ook voor gekozen om zoveel mogelijk kennis tot hun beschikking te nemen.

Onduidelijk wat je nu bedoelt. Ongeacht of Nuon (of welke leverancier dan ook) deze data download, die data blijft sowieso beschikbaar in de C-AR database; ook voor andere leveranciers. Als je het download is het niet weg uit C-AR!
En zoals ik al eerder schreef lijkt het downloaden van data die je toch al hebt (want je moet tenslotte minimaal 1x per jaar je meterstanden aan Nuon doorgeven) nogal zinloos....

Koppensneller @Madden • 5 oktober 2016 13:21

En zoals ik al eerder schreef lijkt het downloaden van data die je toch al hebt (want je moet tenslotte minimaal 1x per jaar je meterstanden aan Nuon doorgeven) nogal zinloos....

Als ik me niet vergis hebben netbeheerder de verbruiksinformatie per kwartier beschikbaar. Da's wel even een bak meer infomatie dan de jaarlijkse meterstanden.

Madden @Koppensneller • 5 oktober 2016 13:24

Nee, beter lezen. In het C-AR staan aansluitingen en daarbij horende NAW-gegevens en jaarverbruiken, niet de meetgegevens van slimme meters waar jij het over hebt.

Dat van dat kwartier klopt overigens wel, maar is hier niet van toepassing.

Koppensneller @Madden • 5 oktober 2016 13:48

Alright, da's was me inderdaad niet bekend. Bedankt

Anoniem: 525224 @GoT.Typhoon • 5 oktober 2016 13:07

Het kan net zo goed even een ontbrekende/verkeerde parameter geweest zijn. Proces aanzetten; kopje koffie pakken.. ff leuteren.. en je hebt het hele register binnen.

De fout is dus dat het in het systeem zelf mogelijk was.

Koppensneller @GoT.Typhoon • 5 oktober 2016 13:22

Ehm, dat werkt precies andersom bij burgers.

GoT.Typhoon @Koppensneller • 5 oktober 2016 13:26

Niet zodra je wordt verdacht... Dan dien je met een geldig alibi te komen.

Madden @GoT.Typhoon • 5 oktober 2016 13:35

Wat een onzin! Je bent onschuldig (in Nederland) totdat de rechter besluit dat je schuldig bent. Dat was zo, en is nog steeds zo.
Zou mooie poppenkast worden als we dat nu ineens gaan omdraaien.

Als je wordt verdacht door partij X, dan zal X ook met voldoende bewijzen etc. moeten komen om dat te onderbouwen. Als dat lukt, dan mag jij inderdaad proberen aan te tonen dat die bewijzen niet kloppen/etc. Maar totdat de rechter jou schuldig verklaart ben je onschuldig.
Als X met zijn/haar bewijzen niet aannemelijk kan maken dat jij schuldig bent hoef je helemaal niets te bewijzen....zo werkt het in Nederland.

Anoniem: 525224 @Madden • 5 oktober 2016 17:23

Daarbij niet te vergeten, dat als je voor je eigen recht moet opkomen.. je dat alleen kan doen met een goede portemonnee.
Eerlijk recht is alleen voor de rijken. (en dus ook de grotere bedrijven)
Recht is een erg subjectief goed en ik begrijp nog steeds niet waarom advocaten gezien worden als een natuurlijk aanhangsel van de rechtspraak.
Dat geeft per definitie aan dat het een subjectieve rommel is. Vrouwe justitia heeft echt niet die blinddoek om.

FlowDesign @GoT.Typhoon • 5 oktober 2016 12:48

Niet dat ik je niet geloof, maarehhhhh..... Bron?

CivLord

@GoT.Typhoon • 5 oktober 2016 15:12

Hoewel ik geen directe bron kan geven zonder er zelf een blog over te schrijven, kan je aan de hand van het aantal klanten al snel aflezen dat het om Nuon gaat. Zij zijn de enige leverancier rond de 2 miljoen klanten en het ging hier om een automatische opvraging van de klantgevens middels de API.

Dat zou juist het beste argument zijn waarom het hier niet om Nuon zou gaan. Zij zijn juist de enige energieleverancier die die gegevens niet op hoeven te vragen, omdat die al in hun eigen administratie staan.

Of ze zouden al hun eigen informatie kwijtgeraakt moeten zijn door een fatale crash en op deze manier geprobeerd hebben om weer wat basisinformatie over hun eigen klanten te krijgen.

GoT.Typhoon @loki504 • 5 oktober 2016 13:12

Beste Loki. Ik ben zelf niet zo van het smerige geld en vind het jammer dat ik mensen ken die dat wel trekt. Ik vind het belangrijker dat we met ons alle een menselijke economie creëren, in plaats van de boel te verpesten.

Nuon is bijvoorbeeld ook bekend voor het doorrekenen van netbeheer kosten aan zakelijke klanten, terwijl dit al sowieso wordt afgedragen aan de netbeheerder. Bij Nuon betaal je dus effectief dubbel. Ik ondersteund dat soort praktijken niet en ik vind het jammer dat andere in mijn omgeving dat wel doen. Als je corrupte dingen moet gaan uitvoeren (in een wereld waar je kinderen ook in gaan leven) vraag ik mij af of wel de juiste keuze gemaakt is. Of ben je het er niet mee eens dat je kinderen het beste verdienen en dat we de wereld fatsoenlijk moeten achterlaten?

loki504 @GoT.Typhoon • 5 oktober 2016 13:24

Tuurlijk zal ik er ook niet trots op zijn. Maar deze bedrijven zullen altijd blijven bestaan.(tenzij wij als mensen het niet meer steunen). Maar iemand afkeuren om waar hij werkt vind ik vreemd. En tuurlijk verdienen onze kinderen het beste. Alleen mijn kinderen zijn het belangrijkste. En als ik door werken iets leuks kan doen met mijn kinderen doe ik dat. zeker om het feit dat zeker in deze tijd. De vacaturen toch wel gevuld worden door andere.

/edit 2 keer op mij reageren. Wouw het zit je echt hoog.

[Reactie gewijzigd door loki504 op 27 juli 2024 14:27]

GoT.Typhoon @loki504 • 5 oktober 2016 13:28

Ik persoonlijk begin er niet aan, was reden voor mij om voor mijzelf te beginnen. Teveel corrupte werkgevers en 95% moest ik dan ook overslaan omdat ik het gewoon moreel onverantwoord vond. Ieder zijn ding natuurlijk, maar de wereld veranderen begint bij jezelf.

Anoniem: 525224 @loki504 • 5 oktober 2016 17:33

Iemand afkeuren vanwege zijn werk lijkt mij heel normaal.
Als jouw werk het leven van 100'en anderen benadeelt, dan mag ik jou niet.

Energie mannetjes doen dit precies.. Alleen dan een factortje erger.
Met name de windmolen subsidie uitbaters zijn erg en ja.. die gun ik geen aandacht en zou ik droppen als vriend zonder twijfel.

Mensen, die leven van het volk zonder bijdrage aan de maatschappij..

loki504 @Anoniem: 525224 • 5 oktober 2016 18:00

Maar moet je dan niet die 100 anderen in bescherming nemen? Mensen die gewoon bv een administratieve functie vervullen bij bv een Nuon is in mijn ogen echt niets mis. Ja de Nuon en ik zijn geen vrienden. Maar als dat de enige manier is om mijn gezin van eten en "luxe" te voorzien dat doe ik het. De andere optie is0 een dan wel tijdelijke uitkering trekker. Maar dat is nog erger. Mensen kiezen er zelf voor om bij bv de Nuon te gaan zitten. Ze kunnen ook ergens anders heen. En zijn er geen klanten dan vallen ze vanzelf om. En dat is Vele malen effectiever als 1 iemand een 12 in dozijn vacaturen vervult voor 23 maanden.

En een vriendschap breken omdat hij bij een ander bedrijf gaat werken zal in mijn ogen van begin af aan niet een echte vriend zijn geweest.

[Reactie gewijzigd door loki504 op 27 juli 2024 14:27]

Anoniem: 525224 @loki504 • 6 oktober 2016 09:32

Daar heb je ook helemaal gelijk in.. Dat soort mens zit niet in onze/mijn vriendengroep.
Ik had het verder ook inderdaad niet over de.. het heeft een naam.. de adminstratieven en dergelijke.

Je môt iets.. en in dit land wordt het gestimuleerd om of helemaal niet te werken, of zielloos werk te moeten doen. Iets heel anders.. maar zo mag ik bijvoorbeeld ook niet bewust goedkoop/spartaans wonen om meer tijd in vrijwilligerswerk te steken.
Scheve regels vaak.

GoT.Typhoon @loki504 • 5 oktober 2016 17:52

Ik zal iemand prima kunnen afkeuren op zn werk. Of heb jij altijd criminelen als vriend? Nee dank je, mij wederom niet gezien.

Anoniem: 525224 @GoT.Typhoon • 5 oktober 2016 17:30

Check.. Ik had een prima baantje tussen in de energie mannetjes..
Opgehouden, omdat het allemaal elite-wanende tokkies waren zonder enig hart.
- Ik heb zelfs mijn contract opgezegd, voordat ik überhaupt iets nieuws had -

De privatisering móet teruggedraaid worden.. al is het alleen om deze duiveltjes te treiteren. Juist de energiemarkt moet alles op 1 hoop geregeld worden i.p.v. losse bedrijfjes en individuen, die subsidies opslorpen zonder de maatschappij er iets voor terug te geven.

Je kan niet in dit soort handel zitten, als je een goed hart hebt. Er zijn enkele mensen, die het proberen op een nette manier.. maar die overwinnen het niet; de hebzucht overwint hier altijd.
Het zijn duivels.. een heel bewust gekozen woord.. ze snappen zelf het niet.. en het grootste kwaad van de duivel is dat hij zich niet laat kennen.

Bijna al deze duivels hebben op de cover gestaan van Emerce en dat soort management blaadjes. Grotere duivels zijn degene, die de privatisering op touw hebben gezet.

Sharkoon 5 oktober 2016 12:34

Ik heb nog een ouderwetse meter met zonnepanelen op het dak. Ik vind het wel prima zo.

Anoniem: 382732 @Sharkoon • 5 oktober 2016 12:52

Dan weten ze nog steeds wat jij gebruikt hoor....

Sharkoon @Anoniem: 382732 • 5 oktober 2016 13:12

niet echt want er wordt nergens geregistreerd hoeveel ik teruglever.

pctje 5 oktober 2016 12:57

Ik wacht nog steeds op bericht van liander met de mededeling dat mijn gegevens ontvreemd zijn. Vooralsnog is het erg stil.

Madden @pctje • 5 oktober 2016 13:22

Uit het artikel:
Sinds 15 september verstrekken de netbeheerders lijsten met de betrokken aansluitingen aan de bijbehorende energieleveranciers. Dat moet consumenten de mogelijkheid geven om bij hun eigen leverancier na te gaan of hun gegevens vrijgekomen zijn bij het datalek.

Je zou dus zelf aan je energieleverancier kunnen vragen of jouw gegevens opgevraagd zijn. Geen idee of de leveranciers pro-actief hun getroffen klanten gaan informeren en/of benaderen.

Morress @Madden • 5 oktober 2016 14:59

Waar zou de lijst staan...? Mja als je die openbaar maakt is t ook niet goed.

pctje @Madden • 5 oktober 2016 15:10

Volgens mij is er plicht dat bedrijf die gegevens lekt dit aan die mensen meldt.

Tweekzor 5 oktober 2016 16:04

Zal het AP hier zijn eerste boete gaan uitdelen? In mijn ogen wel terecht aangezien de betreffende organisatie op de hoogte was van tekortkomingen in de digitale beveiliging van het systeem en hier moedwillig geen actie op heeft ondernomen.
Immers volgens het beleid op :
6.1 a) de aard en omvang. 2 miljoen aansluitingen op een bevolking van 17 miljoen (

= 6miljoen gezinnen) is toch al gauw een grof geschatte 33% van het totaal aantal aansluitingen.
b) de duur van de overtreding: vanaf mei, wanneer de tekortkomingen aangekaart zijn, tot september zonder dat er ook maar plannen zijn om er iets aan te doen.

6.2) Indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid als bedoeld in artikel 66. Dit klinkt toch wel als ernstig verwijtbare nalatigheid, zo niet gaat dit nog altijd in tegen artikel 6: Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Het niet overwegen van security advies getuigd van het niet zorgvuldig verwerken van gegevens waardoor een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht kan worden opgelegd. In mensentaal kan deze boete op grond van overtreding van artikel 6 in categorie I, II of III vallen wat een maximale boete van €820.000 inhoud.

jaapzb 5 oktober 2016 16:19

Hoe kom ik er achter of mijn gegevens gejat zijn? Niet dat ik er wat aan kan doen, maar ik zou het wel graag willen weten. Is daar geen wet voor dat gedupeerden op de hoogte gesteld moeten worden?

Op dit item kan niet meer gereageerd worden.

Toezichthouders constateerden onvoldoende controle al voor diefstal energiedata

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: