Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties

De salarisgegevens van honderden medewerkers en voormalige personeelsleden van ASML zijn online verschenen. Onder de gegevens zijn adressen en burgerservicenummers. Net als bij het uitlekken van gegevens van Philips-medewerkers, lijkt de bron een extern bedrijf.

ASMLASML heeft de personen van wie de salarisgegevens online zijn verschenen vrijdag persoonlijk ingelicht, een dag nadat de gevoelige informatie online verscheen op de site Pastebin. Het gaat om salarisstroken van 2010, waardoor een deel van de gedupeerden niet meer werkzaam is bij het Veldhovense bedrijf. De gegevens zijn inmiddels van die site verwijderd. ASML sluit uit dat de oorzaak bij een eigen beveiligingsprobleem ligt. "Hoewel het onderzoek nog loopt, hebben we reden om aan te nemen dat een externe dienstverlener de bron is", aldus ASML.

ASML-woordvoerder Niclas Mika laat weten dat de Autoriteit Persoonsgegevens is ingelicht over het datalek. Volgens hem is de kans dat de gegevens gebruikt worden om fraude te plegen laag, hij roept mensen om wie het gaat wel op 'waakzaam' te zijn voor phishingpogingen.

Vorige week maakte Philips bekend dat vergelijkbare gegevens van duizenden van zijn medewerkers online kwamen. Ook daarbij werd verwezen naar een extern bedrijf dat de oorzaak zou zijn. Niet bekend is nog om welk bedrijf het gaat en of meer ondernemingen getroffen zijn.

Update, 10.10: Het bedrijf dat verantwoordelijk is voor de salarisverwerking van zowel Philips als ASML, NGA Human Resource, laat aan Tweakers weten betrokken te zijn bij het onderzoek om de oorzaak te achterhalen, maar dat het probleem niet bij hen ligt. "De manier waarop de data gestructureerd is, komt niet overeen met die van onze systemen", zegt een woordvoerder. Hij wijst voor de oorzaak door naar opnieuw een extern bedrijf, dat in de arm genomen zou zijn voor de loonberekening. Om welk bedrijf het hierbij gaat wil de woordvoerder niet zeggen, vanwege het onderzoek. Ook wil de woordvoerder niet zeggen of medewerkers van meer bedrijven, naast Philips en ASML, getroffen zijn door het datalek.

Moderatie-faq Wijzig weergave

Reacties (97)

Het stoort mij totaal niet dat iedereen mijn BSN nummer kan inzien, een kopie van identiteitsbewijs mogen ze ook hebben. Wat ik zo gek vind is dat een kopie of (erger nog) enkele gegevens genoeg zijn om identiteitsfraude mee te plegen. De regel moet zijn, iedereen kan over die gegevens beschikken dus waardeloos. Identiteit moet alleen kunnen worden aangetoond middels identiteitsbewijs in persoon overleggen of digitaal via Digid.
Het stoort mij totaal niet dat iedereen mijn BSN nummer kan inzien, een kopie van identiteitsbewijs mogen ze ook hebben. Wat ik zo gek vind is dat een kopie of (erger nog) enkele gegevens genoeg zijn om identiteitsfraude mee te plegen. De regel moet zijn, iedereen kan over die gegevens beschikken dus waardeloos. Identiteit moet alleen kunnen worden aangetoond middels identiteitsbewijs in persoon overleggen of digitaal via Digid.
Inderdaad zo zou het inderdaad moeten zijn. Het BSN zou alleen een administratief nummer moeten zijn, niets anders.
Ik ben het alleen niet met DigiD eens, dat is nog veel te fraude gevoelig.

Dit is al voldoende om een mobiel abonnement af te sluiten.
Waarom wordt er een kopie gevraagd van mijn ID als ik een telefoonabonnement wil afsluiten?

Aangezien er op het internet kopieŽn van ID kaarten en paspoorten te vinden zijn ...

[Reactie gewijzigd door worldcitizen op 14 november 2016 11:11]

Eens, er moet een systeem komen dat kopieŽn kan vervangen en geschikt voor bedrijfsleven. Ik begreep dat de banken aan eer dergelijk systeem werkten aangezien zij de identiteitscheck doen bij het openen van een rekening. Een betaling van 1 cent via ideal vanaf een gecheckte rekening op jouw naam lijkt mij een prima middel om aan te tonen dat je bent wie je zegt dat je bent
Eens, er moet een systeem komen dat kopieŽn kan vervangen en geschikt voor bedrijfsleven. Ik begreep dat de banken aan eer dergelijk systeem werkten aangezien zij de identiteitscheck doen bij het openen van een rekening. Een betaling van 1 cent via ideal vanaf een gecheckte rekening op jouw naam lijkt mij een prima middel om aan te tonen dat je bent wie je zegt dat je bent
Dat 1 cent verhaal is ook niet voldoende. Dat zegt niets over de leeftijd.
Zo heeft mijn zoon die nog lang geen 18 jaar is een PayPal account geopend.

Wij vonden en vinden dat hij mag internet bankieren tot een bepaald gedrag. Maar doordat hij kan internet bankieren kan bij ook een PayPal account openen, ik weet dat het illegaal is omdat je 18 jaar moet zijn, maar dat controleert PayPal, bewust?, niet.

PayPal is uiteindelijk een soort credit instantie, je zult uiteindelijk het geld moeten ophoesten.

Er is niets ernstigs gebeurt maar het moet IMO niet kunnen. Daarom de 1 cent en kopie ID bewijs zou een combinatie kunnen zijn.

[Reactie gewijzigd door worldcitizen op 14 november 2016 11:47]

Het systeem zoals voorgesteld geeft ook de optie voor leeftijdverificatie.
https://tweakers.net/nieu...mt-breed-beschikbaar.html
PayPal controleerd pas ID en of iemand wel 18 is als hij veel geld binnenkrijgt. Dit doen ze natuurlijk omdat ze weten dat al die kinderen liegen over hun leeftijd. Dan mogen ze zijn account bevriezen en lekker makkelijk al dat geld van hun.
Hoe weet je dan dat dat identiteitsbewijs bij die persoon hoort? Of hoe weet je dat die Digid bij die persoon hoort? Hoe weet je uberhaupt of er een persoon achter de Digid zit of dat het bij wijze van spreken een batch file is?
Wat kunnen kwaadwilenden zoal met je BSN-Nummer? Sorry, maar van dit onderwerp heb ik weinig kennis.
Je BSN nummer is je primaire contact gegeven van de overheid. Daarmee is het helaas soms mogelijk om je bij de overheid voor te doen als iemand anders, en dus identiteitsfraude te plegen.

Eigenlijk is het belachelijk, want de overheid zegt dat je het nummer geheim moet houden, en aan de andere kant zetten ze het op documenten die je vaak moet tonen om je te legitimeren, en nog erger, als je een bedrijf begint krijg je een BTW nummer die gebaseerd is op het BSN nummer, en die ben je verplicht om te verspreiden.
Je kan nergens op basis van alleen je BSN iets doen. Maar goed voor- en achternaam en geboortedatum is meestal makkelijker te achterhalen dan BSN dus wat dat betreft is het wel mogelijk om daarmee zaken te regelen.
Eigenlijk is het belachelijk, want de overheid zegt dat je het nummer geheim moet houden, en aan de andere kant zetten ze het op documenten die je vaak moet tonen om je te legitimeren, en nog erger,
Dat is ook logisch, juist de vermelding van het BSN op je identiteitsbewijzen maakt het mogelijk om te controleren. In vrijwel alle gevallen wanneer een bedrijf die je volledige ID bewijs kopieert in overtreding, zie ook dit artikel van de overheid.
als je een bedrijf begint krijg je een BTW nummer die gebaseerd is op het BSN nummer, en die ben je verplicht om te verspreiden.
Als je een eenmanszaak start ja. En het is ook niet zo gek, je BSN is ook je fiscaal nummer. En het btw nummer is niets meer of minder dan je fiscale nummer plus een pre- en suffix. Je bent overigens niet verplicht om dat in de openbaarheid te verspreiden, enkel aan je klanten.
Je kan nergens op basis van alleen je BSN iets doen. Maar goed voor- en achternaam en geboortedatum is meestal makkelijker te achterhalen dan BSN dus wat dat betreft is het wel mogelijk om daarmee zaken te regelen.
Klopt, maar het feit is dat de overheid aangeeft dat je het geheim moet houden, en inderdaad zijn andere gegevens vaak eenvoudig te achterhalen.
Dat is ook logisch, juist de vermelding van het BSN op je identiteitsbewijzen maakt het mogelijk om te controleren. In vrijwel alle gevallen wanneer een bedrijf die je volledige ID bewijs kopieert in overtreding, zie ook dit artikel van de overheid.
Natuurlijk, maar je hebt je id-bewijs veel vaker nodig dan alleen bij identificatie bij de overheid. Bijvoorbeeld een jongere die in de supermarkt alcohol wil kopen. Niemand die je kan garanderen dat de cassiere niet even het nummer overneemt ( Bijvoorbeeld met een camera ). Dat artikel van de overheid is ook mooi in de theorie, in de praktijk kom je veel in situaties terecht waar je niet de mogelijkheid hebt om even zelf een kopie te maken.
Als je een eenmanszaak start ja. En het is ook niet zo gek, je BSN is ook je fiscaal nummer. En het btw nummer is niets meer of minder dan je fiscale nummer plus een pre- en suffix.
Als ze willen dat je het geheim moet houden, dan moeten ze dat dus aanpassen. Er is niks mis mee om daar een ander nummer voor te genereren.
Je bent overigens niet verplicht om dat in de openbaarheid te verspreiden, enkel aan je klanten.
Alleen aan je klanten stel ik wel gelijk aan in openbaarheid verspreiden. Een bedrijf wil immers gewoon zo veel mogelijk zaken doen, en je kunt niet bij al je klanten garanderen dat er geen rotte appel tussen zit.

[Reactie gewijzigd door Woy op 14 november 2016 09:53]

Als je een eenmanszaak start ja. En het is ook niet zo gek, je BSN is ook je fiscaal nummer. En het btw nummer is niets meer of minder dan je fiscale nummer plus een pre- en suffix. Je bent overigens niet verplicht om dat in de openbaarheid te verspreiden, enkel aan je klanten.
Ondernemers die een webwinkel hebben of ondernemers die een eigen website hebben zijn verplicht om bepaalde informatie te vermelden op de site.
Het btw-nummer hoort daar ook bij, zie:

https://www.acm.nl/nl/ond...-geven-over-uw-webwinkel/
Eigenlijk is het belachelijk, want de overheid zegt dat je het nummer geheim moet houden, en aan de andere kant zetten ze het op documenten die je vaak moet tonen om je te legitimeren,
Er is een verschil tussen tonen en kopiŽren. Voor dat laatste kan je bijvoorbeeld aangeven dat dat alleen kan met een schildje. Het blijft echter belachelijk.
en nog erger, als je een bedrijf begint krijg je een BTW nummer die gebaseerd is op het BSN nummer, en die ben je verplicht om te verspreiden.
Niet als je een BV begint, wat soms zijn voordelen heeft.
[...]
Er is een verschil tussen tonen en kopiŽren. Voor dat laatste kan je bijvoorbeeld aangeven dat dat alleen kan met een schildje. Het blijft echter belachelijk.
Het verschil tussen tonen en kopiŽren is natuurlijk maar minimaal. Met een (verborgen) camera heb je zo een kopie. Of de persoon in kwestie kan het nummer gewoon onthouden en later opschrijven.
Niet als je een BV begint, wat soms zijn voordelen heeft.
De keuze tussen een BV en eenmanszaak zou natuurlijk niet af moeten hangen van een IMHO foutieve procedure van de overheid die deze vormen zelf aanbied.
[...]

Het verschil tussen tonen en kopiŽren is natuurlijk maar minimaal. Met een (verborgen) camera heb je zo een kopie. Of de persoon in kwestie kan het nummer gewoon onthouden en later opschrijven.
Dat kan, maar tonen maakt de drempel tot onbedoeld misbruik nog steeds een stuk hoger dan kopiŽren. Zeker op grote schaal zijn er beperkingen (zoals het voorbeeld in dit nieuwsartikelen).
De keuze tussen een BV en eenmanszaak zou natuurlijk niet af moeten hangen van een IMHO foutieve procedure van de overheid die deze vormen zelf aanbied.
Daarom gaf ik ook een link naar een artikel waar de andere (belangrijkere) voor- en nadelen genoemd worden. Het is echter onwaar dat je altijd verplicht bent om je BSN te verspreiden als je een bedrijf begint. Daar zit een belangrijke nuance in.
Als bedrijven een kopie willen van je identitieitsbewijs: nooit door het bedrijf laten doen. Zelf een kopie maken en het BSN nummer onleesbaar maken (kopie van kopie of scannen, dikke streep erdoor en printen, of de app: https://www.rijksoverheid...ntiteitsbewijs-moeilijker )

[Reactie gewijzigd door gjmi op 14 november 2016 09:59]

Ja dat is in de theorie leuk, maar in de praktijk lang niet altijd mogelijk. Er zijn genoeg bedrijven die niet accepteren dat ze niet zelf een kopie maken. Dat mag natuurlijk niet, maar als je toch graag in een hotel wil slapen zul je het er op dat moment mee moeten doen.
Dat moeten ze wel accepteren. Je moet natuurlijk wel de echte ernaast kunnen laten zien, zonder dat je hem uit handen geeft.

Ik heb trouwens nog nooit in een hotel geslapen dat een kopie van mijn paspoort wil. Maar misschien moet je dan in de duurdere zitten ;)
Dat moeten ze wel accepteren.
Dat is toch juist wat ik zeg, tussen moeten en daadwerkelijk doen zit een groot verschil. Als de overheid gewoon zorgt dat het nummer of niet op het ID bewijs staat, of dat het verder gewoon geen waarde heeft is er ook niks aan de hand.

[Reactie gewijzigd door Woy op 14 november 2016 10:45]

[...]

Dat is toch juist wat ik zeg, tussen moeten en daadwerkelijk doen zit een groot verschil. Als de overheid gewoon zorgt dat het nummer of niet op het ID bewijs staat, of dat het verder gewoon geen waarde heeft is er ook niks aan de hand.
Inderdaad , want in het buitenland hebben ze geen enkele weet van de regels in Nederland.
Probeer maar in een vreemde taal, die je niet machtig bent, uit te leggen dat ze niet alles mogen kopiŽren. Als de mensen aan de balie niet goed Engels kunnen praten.
En er zullen waarschijnlijk ook landen zijn die kopieŽn van paspoorten eisen en dat deze niet aangepast mogen zijn.

Tevens dacht ik dat je via een scanner ook de bsn ziet, die kun je niet doorhalen. En mogelijk alle informatie op het paspoort, inclusief foto. In sommige landen, bijvoorbeeld MaleisiŽ , is dat het geval, ik weet niet of dat in Nederland (Nederlands paspoort) ook het geval is.

Edit: typo

[Reactie gewijzigd door worldcitizen op 14 november 2016 14:21]

In Nederlandse paspoort staat het BSN zowel op achter als de voorkant. In de reeks nummers onderop is het de laatste serie cijfers op de onderste regel. Het is wat verborgen, maar als je het weet is het snel te achterhalen.

https://en.wikipedia.org/wiki/Machine-readable_passport

Verder heb je idd gelijk. Wat de Nederlandse wet zeg heeft weinig zin als een ander land waar je op bezoek bent wat anders eist.
Een paar jaar geleden was ik in Peru en moest ik in elk Hotel mijn paspoortnummer (vaak kopie) achterlaten. Dit zodat de overhead kon nagaan waar de toeristen waren geweest (was vlak nadat Joram van der Sloot vluchtte naar Chili).

[Reactie gewijzigd door Faab de nde op 14 november 2016 14:09]

Of dat het nummer dus op de achterkant staat ipv de voorkant waarvan de kopie wordt gemaakt..
Ze mogen de kopie van mij ook wel zelf maken, maar ik wil die kopie nog steeds kopiŽren. Indien ze daar moeilijk over doen geef je even heel vriendelijk maar toch dringend aan dat ze hiermee de wet overtreden. Alleen mijn werkgever mag als private onderneming mijn BSN nummer ook daadwerkelijk opvragen.
Alleen mijn werkgever mag als private onderneming mijn BSN nummer ook daadwerkelijk opvragen.
En jouw bank. Voor een bankrekening in Nederland is het verplicht dat een volledige kopie van de identiteitsbewijs wordt gemaakt. Dit is een zeldzaam geval waarin wetgeving expliciet aangeeft dat dit moet (de andere is je werkgever).
Fair point inderdaad.

Maar alle overige bedrijven die er om vragen kunnen van mij een gecensureerde kopie krijgen en daar houd het dan ook mee op.
Als je op vakantie een motorvoertuig huurt moet je je paspoort ook achterlaten anders krijg je niets mee.

Pas nog meegemaakt in Thailand voor het huren van een motor.
Zou je daarvoor niet gewoon zo'n pas aan kunnen maken die Brenno de Winter destijds ook heeft gebruikt?
Bijzonder, nog nooit gehad. Wel je creditcard gegevens en vaak inderdaad wel een kopie van ID/paspoort & rijbewijs.

Je moet je namelijk in het buitenland ook altijd kunnen legitimeren, erg lastig als je je paspoort achter laat bij een motor verhuurder.
Nooit je paspoort ergens achterlaten in het buitenland, kopie ok, maar nooit je originele paspoort. en tja, in nederland is het dus niet zomaar toegestaan voor een bedrijf om een volledig kopie van je ID te maken, maar dat geldt dus niet in het buitenland..
Er zijn slechts enkele instanties die een kopie mogen maken. Bij een hotel moet je gewoon aangeven dat ze eerst hun jurist maar even moeten bellen (dat doen ze nooit) en vervolgens geef je aan dat je aangifte gaat doen van het ongeoorloofd kopiŽren van een paspoort. Meestal binden ze dan in.
Success als je in het buitenland in een hotel zit ;) , maar zelfs in Nederland loop je tegen bedrijven aan die gewoon niet meewerken.
Eerlijk gezegd heb ik dit juist altijd in het buitenland gebruikt. In verschillende landen is het verboden en als jij het overtuigend zegt, geloven ze je ook meteen.
In de hotels is het gewoon gemakzucht. Het maken van een kopie is veel gemakkelijker dan het overschrijven van de benodigde gegevens. Dat weten ze zelf ook en als je dreigt met aangifte, pakken ze toch pen en papier.
Je hebt helemaal gelijk. Maar als je dat doet tijdens een sollicitatie heb je gewoon pech. Want de vriendjes van de Belastingdienst accepteren het niet zonder. Zonder kopie met BSN; geen salaris....
Van de zotte dat er ťťn departement is bij onze overheid dat zich van geen enkele regel van dezelfde overheid ook maar iets aantrekt. Net als de belachelijke vertrekregeling van een paar maanden terug.
Ja, bij je werkgever zal het wel moeten. Maar bijvoorbeeld een makelaar heeft een id nodig om zaken te kunnen opstellen. Die heeft jou BSN niet nodig.
En tegenwoordig is het ook verplicht om een bankrekening te hebben, immers is de werkgever verplicht (sinds 1-1-2016) om minimaal het netto minumloon giraal over te maken, dus niet meer in een envelopje oid..
Eigenlijk zouden ze nog een soort bevestiging moeten vragen, in plaats van louter op goed vertrouwen en een nummertje uit te gaan.
Je BSN nummer is je primaire contact gegeven van de overheid. Daarmee is het helaas soms mogelijk om je bij de overheid voor te doen als iemand anders, en dus identiteitsfraude te plegen.

Eigenlijk is het belachelijk, want de overheid zegt dat je het nummer geheim moet houden, en aan de andere kant zetten ze het op documenten die je vaak moet tonen om je te legitimeren, en nog erger, als je een bedrijf begint krijg je een BTW nummer die gebaseerd is op het BSN nummer, en die ben je verplicht om te verspreiden.
Dat zijn allemaal zo'n leuke zaken in dit land. De overheid bedenkt zaken die niet helemaal werken, en de burger isd an de gene die op de blaren moet zitten c.q. de overheid neemt geen verantwoordelijkheid.

Zoals bijvoorbeeld: Moeder maakt 130.000 euro schuld, maar kind moet het terugbetalen
‘Overheid ook verantwoordelijk voor fraude kinderopvang’

Gelukkig allemaal zaken die mij bespaart zijn, het zal je maar gebeuren. Zeker om de vechten tegen de belastingdienst waar de omgekeerde bewijslast gehandhaafd wordt. Schuldig tenzij anders bewezen.
Las op site van Eigen huis nog dat veel van dat soort gegevens (BSN, copy identiteitsbewijs) gewoon (voor weinig) aan te vragen is: https://www.security.nl/p...rming+voor+woningbezitter
Erg geheim is dat niet meer en je kunt het makkelijk aanvragen.
hoe vaak wil men een kopie van je rijbewijs of paspoort en daar staat al je bsn op
Op het rijbewijs pasje staat deze op de achterkant. Er is vaak geen reden om de achterkant te kopieren, dus dan is een kopie van de voorkant voldoende.

Paspoort staat het ook op de achterkant, maar staat het WEL in de serie tekens onderop. Onderste regel de laatste serie cijfers.
Nep ID maken (id kaart, paspoort) en een telefoonabbo afsluiten op jouw naam bijvoorbeeld. Maar ook veel vervelendere dingen.
Nep ID maken (id kaart, paspoort) en een telefoonabbo afsluiten op jouw naam bijvoorbeeld. Maar ook veel vervelendere dingen.
Inderdaad allemaal zaken die veel te gemakkelijk gaan in dit land.
Het ergste is dat aan het einde van de rit de gene waarvan het BSN is de verantwoordelijke is.

Terwijl ik vind dat de provider ten alle tijden verantwoordelijk zou moeten zijn. De regering (vooral de VVD) is voor zelf regulering.
Lees dit eens: http://plazilla.com/page/4294997409/fraude-met-bsn

Met een BSN nummer kan je heel veel schade berokkenen bij mensen.
Op jou identiteit dingen aanvragen. Bijvoorbeeld bankrekeningen op je naam aanvragen om er vervolgens op in het rood te staan. De bank komt dan bij jou terecht.
Daar komt echt wel meer bij kijken dan simpel alleen een BSN..
Identiteits fraude. Iemand kan heel veel kosten maken op jou naam. En dan ben je jaren zoet om te bewijzen dat iemand anders dat was en niet jij. Als het al lukt.
Je hebt dan ook te maken BKR registratie. Voorbeeld: Iemand maakt veel schulden op jou naam, vervolgens krijg jij geen hypotheek meer.
Familie lid werd telkens uitgeschreven bij de verzekering... omdat iemand (per ongeluk?) telkens een verkeerde bsn nummer opgaf... dus werd ze verschillende keren uitgeschreven en moest het weer terug gedraaid worden.
Hoe kan je per ongeluk een verkeerd en geldig BSN opgeven?
Een BSN moet voldoen aan de 11-proef.
Als je een nummer verkeerd typt (kan gebeuren) is het nummer simpelweg ongeldig.

[Reactie gewijzigd door hackerhater op 14 november 2016 12:06]

Als je een willekeurig BSN nummer verzint is er 90% kans dat het ongeldig is volgens die test.

Van de tien die het fout tikken, komt er dus gemiddeld eentje door de check...
Van de tien die het fout tikken, komt er dus gemiddeld eentje door de check...
Een beetje nitpicking, maar dat percentage zal lager liggen. Als je 1 nummer fout typed zal het namelijk altijd een ongeldig nummer zijn. De meeste fouten zullen niet zomaar random nummers zijn, maar gewoon overtypen. De kans dat er twee nummers foutief over getyped worden is een stuk kleiner dan dat je er maar 1 fout typed
Wie is er dan verantwoordelijk in zo'n geval? ASML omdat ze een "onbetrouwbare" partner hebben gebruikt? Of de externe partner, omdat zij een "slechte" dienst aanboden?
Voor het personeel is ASML de aansprakelijke aangezien dat de partij is waar de persoon "zaken" mee gedaan heeft. ASML kan natuurlijk op zijn beurt de andere partij weer aansprakelijk stellen voor geleden schade.
De praktijk is dat ASML naar een contracteur wijst, en die wijst weer naar een andere. Het artikel veegt er inderdaad wel heel luchtig overheen dat ASML wel degelijk aansprakelijk is, ongeacht aan welk clubje ze de administratie hebben uitbesteed.
Precies, zelfde als dat wanener ik ingehuurd wordt om X te doen, en ik besteed een deel uit, dat de opdrachtgever nog steeds mij aansprakelijk zal stellen voor problemen. (Ik kan dan op mijn beurt mijn aansprakelijkheid proberen te verhalen via mijn contract.)

Maar goed dan ook, het lijkt erop dat het lek dus bij een onderaannemer van NGA Human Resource ligt.

De vraag die ik hierbij heb is waarom - indien inderdaad NGA's verhaal waar is - die onderaannemer anno 2016 nog steeds gegevens uit 2010 heeft. Immers uitbesteden is geen probleem, maar je zou verwachten dat toegang tot data daarbij ook geregeld is, en beperkt tot de duur van de contractuele handeling.
De vraag die ik hierbij heb is waarom - indien inderdaad NGA's verhaal waar is - die onderaannemer anno 2016 nog steeds gegevens uit 2010 heeft.
Deze vraag heb ik mij ook gesteld. Er kan natuurlijk geschermd worden met de fiscale bewaartermijn van 7 jaar, waar deze data nog binnen valt. Maar zeven jaar oude gegevens bij een salarisstroken onderaannemer??? Dit houdt dus in dat persoonsgegevens 7 jaar lang in 2 en misschien wel 3 verschillende databases opgeslagen zijn geweest. En ik maar denken dat een dergelijke situatie alleen exemplarisch is voor de gezondheidszorg.

Net zoals bedrijven spastisch zijn over het buiten de deur stallen van productdata kunnen deze personeelsgegevens naast de persoonlijke risico's ook een bedrijfsrisico betekenen. Uit de personeelsgegevens is veel af te leiden over de samenstelling van het personeel op basis van leeftijd en opleidingsniveau. Kan natuurlijk met een dikke linkedin account ook aan elkaar worden gededuceerd. Maar niet iedereen met een linkedin account vult de homepage naar waarheid in en niet iedereen met een salarisstrook struint op linkedin rond.

Een innovatie in het HR wereldje zou kunnen zijn door de innovatie in de produktontwikkeling in het kielzog te volgen. Alle bedrijfsgegevens in een eigen beveiligde omgeving. Op hetgeen waarvoor je jezelf als organisatie verantwoordelijk voelt wil je ook invloed hebben. Salarisregistreerders kunnen onder voorwaarden remote toegang krijgen tot deze informatie en daar hun ding doen, maar dan wel zodanig dat de informatie binnen de bedrijfsomgeving van ASML blijft. Ook belangrijk is om de gegevens in een onafhankelijk format te houden zodat eenvoudig op een andere salarisregistreerder kan worden overgestapt. Het kunstje dat de salarisregistreerders moeten leren is om te adapteren aan het format waarmee de salarisgegevens bij ASML opgeslagen is. Hun software heeft dus een flexibele schil nodig om met verschillend geformatteerde salarisgegevens van verschillende bedrijven te kunnen werken.

Dit alles is best een gedoe, en ik vermoed dat bedrijven de moeite pas gaan nemen als ze gaan beseffen dat personeelsgegevens ook bedrijfskritisch zijn.
De enige verklaring die naar mijn smaak hout zou snijden is, als ASML volledige verwerking en opslag uitbesteed had aan NGA Human Resources (hetgeen inderdaad geen gekke gang van zaken is), maar dat NGA Human Resources zelf grotendeels enkel een lege huls is, en de echte verwerking en opslag uitbesteed had.

Dan zou die uitbestede partber in feite de werkelijke verwerker zijn, en NGA Human Resources enkel een 'zetbaas'. Beetje hetzelfde als met detachering waar je soms ook verschillende lagen bedrijven hebt om ťťn persoon ergens te plaatsen.
Deze manier van werken is inderdaad best gangbaar. Bedrijfsondersteunende diensten, HR is niets meer en niets minder, bevinden zich aan de grenzen van het aandachtsgebied van bedrijfsdirecties. De diensten zijn nodig, maar zijn niet de core business. Directies hebben maar twee doelen: zo goedkoop mogelijk en geen klachten over de dienst. Misschien dat een goede HR manager nog wel de kansen van innovatie weet te communiceren naar een directie. Maar juist deze outsourcing is een van die "kansen" waar de HR-wereld breed gebruik van is gaan maken. Nu zal de gemiddelde HR-manager geen IT deskundige zijn, zodat ook de hier geschetste problemen zich aan de grenzen van het aandachtsgebied hebben bevonden.

Het voorval van dit artikel is dus nodig om de directies en hun HR managers er op te wijzen hoe kwetsbaar deze constructie met dit soort gegevens is. Het gevaar is om gebruik te maken van de term datalek. Dat suggereert namelijk een incident. En dat doet geen recht aan het structurele risico dat het stapelen van serviceverleners met toegang tot persoonsgegevens vertegenwoordigd.

Maar het benadrukken van het bedrijfsbelang van deze gegevens kan een directie meer gevoelig maken voor verandering, hoop ik tenminste. Misschien iets voor ondernemingsraden om tegenaan te duwen. Het lijkt mij een zinnig onderwerp.
Dit is een goede vraag.
maar mijn mening ASML, hier zijn primair de gegevens aan verstrekt, zij moeten er voor zorgdragen dat deze gegevens veilig bewaard worden/blijven.
Dit kan op verschillende manieren opgepakt worden. Echter ben je dan afhankelijk van meer gegevens die hier niet prijsgegeven zijn. Is de externe partij een contractor, een salaris verwerker. Er zijn dus verschillende mogelijkheden.

Er is dus initieel geen verantwoordelijke aan te wijzen omdat gewoonweg niet alle gegevens bekend zijn.
Er is dus initieel geen verantwoordelijke aan te wijzen omdat gewoonweg niet alle gegevens bekend zijn.

Verantwoordelijk is ten alle tijde ASML.

Schuldig aan het verlies is inderdaad een tweede vraag en nog onbekend.
Ben benieuwd welke partner dit is? In dit geval wordt ASML in slecht daglicht gezet terwijl de partner ook naar mijn inziens mede verantwoordlijk is of misschien zelfs meer.
Meestal wordt het "grotere" bedrijf in de media naar voren geschoven waardoor hun reputatie geschaad wordt. Dat is niet geheel onterrecht, maar de update over meerdere partners die betrokken zijn is een belangrijje nuancering.
Denk aan Samsung. Niemand geeft er om wie de batterij geleverd heeft. Het is aan Samsung om de schuld te dragen en het probleem op te lossen. Hoe de schadekleems uitpakken mogen ze onderling in de rechtzaalbuitvechten.
Laten we hopen dat de schade beperkt blijft.

[Reactie gewijzigd door AJediIAm op 14 november 2016 13:25]

Ik ben het mee eens dat het ASML is die de slechte publiciteit behoort te krijgen maar voor andere bedrijven is het toch wel handig om te weten welk bedrijf het is voor als ze momenteel willen overstappen bijvoorbeeld naar een andere partner. Of als je als consument alles in de cloud wilt bijhouden.
Mee eens dat ASML verantwoordelijkheid moet nemen, zeker tegenover hun eigen personeel. Maar om te zeggen dat het een schoolvoorbeeld is van slechte security is simpelweg niet waar.
Dat security of schoolvoorbeeld deel geef ik niet aan.. Verkeerde persoon?
Oops, verwarde deze commentaar met een ander. Sorry
Ik doe geen zaken met een of andere accu leverancier, ik doe zaken met Samsung. Als Samsung een paar centen heeft weten uit te sparen op hun accucircuitje, dan wel vergeten is om wat certificaten en testrapporten op te vragen, dan moeten ze nu maar gewoon op de blaren zitten.
Precies.
Of het nu Samsung is of ASML, het bedrijf waar de consument/werknemer zaken mee doet is tegenover de consument/werknemer volledig verantwoordelijk. In het geval van Samsung zou dat dus zelfs de winkel moeten zijn en niet de leverancier.

Waar de uiteindelijke schuld ligt is een tweede.
Ik stel meer de vraag is dit dezelfde partner, en wie is het dan geweest. Ik bedoel er zijn mogelijk meer bedrijven die daar zaken mee deden en dan wil je zoiets toch na kunnen vragen of ze meer weten.
Asml.
Ze weten blijkbaar niet eens waar ze hun salarisgegevens allemaal stallen, doorverkopen.
Qua privacywetgeving is ASML de 'verantwoordelijke' voor de verwerking van persoonsgegevens. De contractor zal de 'bewerker' zijn. De Autoriteit Persoonsgegevens zal in dit soort gevallen de 'verantwoordelijke' aanspreken op hun verantwoordelijkheid.
ASML is wel een schoolvoorbeeld van hoe je een potje maakt van de beveiliging van de data.....
Eerst het Intellectueel Eigendom aan China 'geven' en nu dit.

Ik hoop dat ASML er compleet van langs krijgt op de beurs want kan je een dergelijk bedrijf dat drijft op kennis nog wel serieus nemen als het op dusdanige wijze mee omgaat haar kennis?
Het is een third-party waarbij dit is gebeurd. Dus ASML zal op zijn beurt gewoon advocaten inschakelen die contract gaan gebruiken om boete-clausule op te eisen of contract te laten ontbinden.

Juist om die reden zijn al die partijen ook gecertificeerd (SOC1 etc) en geaudit door partijen als KPMG. Natuurlijk is het niet waterdicht maar dit is gewoon de manier waarop outsourcing is gebaseerd.
ASML is wel een schoolvoorbeeld van hoe je een potje maakt van de beveiliging van de data.....
Kun je die stelling iets beter motiveren? ASML is een bedrijf met duizenden werknemers, grotere en kleinere vestigingen in verschillende landen, bedrijfsonderdelen die aangekocht zijn (en dus qua IT inrichting nog kunnen afwijken van "de standaard"), een flink gedeelte extern personeel, een groot aantal stel sterk verweven toeleveranciers, etc. Dat allemaal zowel veilig als werkbaar houden lijkt me best wel een uitdaging, en dat er ergens een lek zat (dat geleid heeft tot IP leak naar China), is natuurlijk niet goed, maar toch niet voldoende grond om simpelweg te zeggen dat ze er een potje van maken?

Hetzelfde geldt voor dit nieuwe lek. ASML heeft, net zoals een heleboel andere bedrijven, de loonadministratie uitbesteed. Daarbij controleren ze (mag ik hopen) dat de gegevensverwerking van die leverancier voldoet aan o.a. de eisen mbt informatiebeveiliging, maar een dergelijke controle zal altijd maar tot op een zeker niveau gaan (certificering door onafhankelijke instantie, accountsrapporten, etc.). Immers, als je tot op het laagste niveau controle wilt hebben, had je het beter in-house kunnen houden.

ASML is zeker verantwoordelijk richting de betrokken personen voor eventuele schade (los van of ze zelf dan weer die schade verhalen op hun leverancier), maar ook hier weer denk ik dat je niet op voorhand en zonder nadere informatie kunt stellen dat ASML er een potje van gemaakt heeft.
Ik vind dit redelijk kortzichtig. Misschien weet jij meer over de hack dan ik. Misschien weet jij wel welke data precies buit gemaakt is. Misschien kan security bij ASML wel beter.
Ik betwijfel of een bedrijf op kan tegen Chinese staats hackers of professionele bedrijfsspionage. Er is dan ook niets wat dit een schoolvoorbeeld maakt.
Weer een externe dienstverlener. Van de ene kant kun je dat de opdrachtgever (in dit geval ASML) niet kwalijk nemen, van de andere kant had die opdrachtgever misschien beter moeten opletten. Blijkbaar is er een dienstverlener gekozen die z'n zaken niet op orde heeft. Nu weet ik best dat het haast onmogelijk is om een veilige dienstverlener te kiezen. Security speelt zich voor 90% achter gesloten deuren af en als afnemer ben je nauwelijks in staat om die veiligheid te controleren.
Dat zelfs een rijke technologiereus als ASML de fout in gaat laat wel zien hoe moeilijk het is.

Ondanks dit alles vind ik dat ASML verantwoordelijk is, zij hebben verkeerde partner gekozen. Als we dat niet doen dan is het hek van de dam en kan iedereen zich wel achter een extern bedrijf verschuilen. Het is in ieder geval goed van ASML dat ze het lek hebben gemeld zoals het hoort.

[Reactie gewijzigd door CAPSLOCK2000 op 14 november 2016 09:44]

Is er bekend welke salaris provider het in dit geval is?
Update, 10.10: Het bedrijf dat verantwoordelijk is voor de salarisverwerking van zowel Philips als ASML, NGA Human Resource, laat aan Tweakers weten betrokken te zijn bij het onderzoek om de oorzaak te achterhalen, maar dat het probleem niet bij hen ligt. "De manier waarop de data gestructureerd is, komt niet overeen met die van onze systemen", zegt een woordvoerder. Hij wijst voor de oorzaak door naar opnieuw een extern bedrijf, dat in de arm genomen zou zijn voor de loonberekening. Om welk bedrijf het hierbij gaat wil de woordvoerder niet zeggen, hangende het onderzoek. Ook wil de woordvoerder niet zeggen of medewerkers van meer bedrijven, naast Philips en ASML, getroffen zijn door het datalek.
Sorry maar dat is dan wel de slechtste reden om niet aan te nemen dat de data van jou komt. Je kan er lig donder op zeggen dat er nog meer bedrijven de sjaak zijn. Ik gok dat het halve sciencepark daar met hetzelfde bedrijf in zee is gegaan. Wat ik dan raar vind is dat er in een week tijd ook al nieuws van de buren voorbij komt: nieuws: Datalek Capgemini bood toegang tot gegevens recruitmentbedrijf Michae.... Dit was weliswaar een andere hack en kompleet ander type, maar het is wel frappant.

Capgemini, ASML en Philips zitten in eindhoven op nog geen 100 meter van elkaar verwijderd. Ik hoop niet dat we volgende week ook NXP en IBM voorbij zien komen.
NXP heeft in ieder geval een andere salaris administrateur, want die zijn gedwongen overgegaan naar een bedrijf dat ook eigendom was van dezelfe investeringsmaatschpij als NXP toen was. _/-\o_

Maar goed, het kan natuurlijk wel zijn dat die het weer uitbesteed heeft aan dezelfde als NGA Human Resource O-)
Wellicht wel de nr 1 reden waarom ik tegen al die cloud diensten ben. Is het alleen maar wie uiteindelijk verantwoordelijk is. Bij wie kan een getroffen personeelslid zijn recht, en eventueel schadevergoeding, halen?
En laat nou eigenlijk alle grote en kleine salarisverwerkers/softwarebedrijven over schakelen naar cloud-based systemen, waardoor de kans groter wordt dat deze data 'lekt', want ik weet uit eigen ervaring dat er maar weinig van deze bedrijven oa ISO-certificeringen of ook maar iets in die richting hebben (en genoeg er van ook nooit zullen krijgen, of alleen dmv grondige reorganisatie)..
Hij wijst voor de oorzaak door naar opnieuw een extern bedrijf, dat in de arm genomen zou zijn voor de loonberekening.
Ik zie een patroon. Laat me raden. Dat externe bedrijf heeft het ook weer uitbesteed naar een bedrijf dat de opdracht weer heeft doorgegeven aan een Amerikaans bedrijf, dat weer een bedrijf uit India heeft aangenomen wat het vuile werk laat uitvoeren door een goedkoop Chinees bedrijf dat draait op zwart werkende Koreanen die de data invoeren via een Russische website.
Gelukkig hebben we tegenwoordig een wet die eist dat je op z'n minst een contract afsluit met je partners waarin de verantwoordelijkheid voor dit soort gegevens wordt geregeld. Ik hoop dat bedrijven als ASML hier van leren en voortaan stevige boeteclausules opnemen in hun contracten. lekken = dokken.
Dat heb je met outsourcen.
De bedrijven motiveren outsourcing om de kosten te drukken en vooral om de beste expertise te kunnen bieden.

Maar eigenlijk komt het erop neer om de verantwoordelijkheid wat er mis loopt op een ander te kunnen doorschuiven.
Indien men zou verplichten dat het hoofdbedrijf mede verantwoordelijk wordt, dan zou men wat voorzichtiger worden met zomaar dingen uit te besteden.
Ik heb gehoord dat de Nederlands "burgerservicenummers" veel geheimer zijn dan de Belgische "rijksregisternummers", wat hier in principe gewoon openbaar is. Zou iemand kunnen verklaren wat hier zo verschillend is?
Voorzover ik weet is het nederlandse burgerservicenummer (voorheen Sofi-nummer genaamd) grotendeels vergelijkbaar met het belgische rijksregisternummer.
Voor overheidsdiensten in Nederland is er nog een DigiD nodig, als beveiliging, terwijl ik begrijp dat in BelgiŽ er geen PIN/beveiliging op zit. Om te zeggen dat het openbaar is zal men van hogerhand betwisten maar zonder beveiliging voor bepaalde handelingen lijkt me de variant in BelgiŽ inderdaad wat makkelijker te misbruiken.
In Nederland is de opmaak van het BSN iets anders : dit is ook je BTW nummer maar er kan niet direct afgeleid worden wat je geboortedatum is zoals met het rijksregisternummer wel zou kunnen.
In BE: Op het nummer zelf zit geen beveiliging. Op je id kaart zit wel een pincode en om in te loggen op overheidsdiensten en daarvoor moet je voorlopig nog met een kaartlezer werken.

Er is sprake van contactloos(waarschijnlijk nfc) in te kunnen loggen op overheidsdiensten. Dus geen kaartlezer meer nodig en een stuk veiliger volgens Jan Jambon minister van veiligheid en binnenlandse zaken.
Niets... het geheim houden van je BSN is gewoon onzin, er zijn genoeg situaties waarin iemand je BSN kan achterhalen. of gewoon een random BSN genereren (is namelijk niets meer dan een 9 cijferig nummer waarop je de 11-proef moet kunnen uitvoeren).
Geheel eens, maar het probleem is dat teveel instanties weinigt ot geen controle doen en met naam, BSN en geboortedatum allerlei zaken kunnen aanvragen/opvragen zonder echte legitimatie.

Dat is overigens sinds een paar jaar gelukkig aan het veranderen, maar vandaar dus die adviezen om BSN geheim te houden - historische context.

Voor elke (ex)ondernemer in NL is je BSN uberhaupt wereld-openbaar.
Geheel eens, maar het probleem is dat teveel instanties weinigt ot geen controle doen en met naam, BSN en geboortedatum allerlei zaken kunnen aanvragen/opvragen zonder echte legitimatie.
Als men niet goed controleert, is het dan niet aan de instantie ipv de gedupeerde om aan te tonen dat het echt de gedupeerde is?
Is het ook al bekend welk extern bedrijf in 2010 de salarisadministratie verzorgde?
Dit is interessant ivm een migratie die aanstaande is.
Meer en meer lees je zulke dingen dat er weer eens persoonsgegevens gehackt werden en (delen) van je persoonlijke gegevens te grabbel gegooid worden, met alle eventuele gevolgen vandien, zoals identiteitsdiefstal en -fraude.

Men (wie dat ook moge zijn) spreekt dan steeds maar dat je je online gegevens beter moet afschermen, dat je moet proberen zo min mogelijk gegevens te delen, maar ELK bedrijf vraagt nu eenmaal je persoonlijke data.

Dus bedrijven moeten meer investeren in (online) beveiliging, echter zonder resultaat, want datadiefstal wordt steeds erger.

Ik ben maar een IT-leek. Maar moet er dan niet begonnen worden met op een andere manier te denken en persoonsgegevens op een andere manier/wijze op te slaan dan in de cloud of offline-opslag die toch online toegankelijk blijkt te zijn voor hackers?
In plaats van meer investeren in virusscanners, spam of hackpogingen, een manier zoeken/uitvinden dat die gegevens gewoon weg op een andere manier opgeslagen worden?


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True