'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens'

Uit een steekproef van Reporter Radio zou blijken dat de helft van alle datalekken bij gemeenten niet gemeld wordt aan de Autoriteit Persoonsgegevens. Het verzuimen van een melding kan op boetes uitlopen. De AP overweegt de gemeenten opnieuw te waarschuwen voor de risico's.

Het Radio 1-programma Reporter Radio heeft een steekproef onder 66 gemeenten gedaan. Die kregen een wob-verzoek met de vraag hoeveel datalekken ze gehad hebben sinds de meldplicht in werking trad op 1 januari 2016 en of ze deze ook gemeld hebben. Ook vroegen ze naar de details omtrent de lekken.

Bij twee derde van alle besproken lekken zouden burgerservicenummers betrokken zijn en bij 90 procent ook naw-gegevens. Niet alleen is de helft van deze lekken niet gemeld bij de AP, maar in 82 procent van de gevallen zijn de betrokken burgers ook niet ingelicht. Vanwege het risico op identiteitsfraude bij dergelijke lekken, is het belangrijk dat burgers alert blijven op verdachte berichtgeving, zoals een bevestiging of afwijzing van een lening die een derde partij in hun naam heeft aangevraagd. Gemiddeld zouden 16 per duizend inwoners getroffen zijn.

De datalekken zijn lang niet altijd gevallen van grote databases die in handen vallen van hackers. Het gaat bijvoorbeeld ook over verloren telefoons, verkeerd verzonden e-mails en andere gemeenten die in de context van een samenwerkingsverband gegevens konden inzien. Bij dat laatste voorbeeld zou dus gesteld kunnen worden dat de data niet op straat liggen, maar omdat de Wet Bescherming Persoonsgegevens ook de 'onrechtmatige verwerking' van persoonsgegevens verbiedt, valt het wel onder de meldplicht datalekken. Het niet melden van een datalek kan een boete opleveren die kan oplopen tot 820.000 euro.

Reporter Radio bespreekt het nieuws op zondagavond om 19:00 op Radio 1, met securitydeskundigen Ronald Prins van Fox-IT en Mary-Jo de Leeuw van Revnext.

IT-banen

Reacties (97)

Rob_03 28 januari 2017 12:31

Tja en dus?

https://autoriteitpersoon...ing/meldplicht-datalekken

"Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?
Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen."

"Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Melden datalek niet nodig
U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen.

Ook helpen deze beleidsregels u met de vraag of de door u getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden."

"Kunt u aannemelijk maken dat betrokkenen waarschijnlijk geen last zullen hebben van een datalek? Dat wil zeggen: dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP).

U moet een datalek melden bij de AP als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Meer informatie hierover vindt u in de Beleidsregels meldplicht datalekken.

Moet u het datalek bij de AP melden? Maar zijn ongunstige gevolgen voor de betrokkenen onwaarschijnlijk? Dan geeft u in uw melding bij de AP aan dat u het datalek niet heeft gemeld aan de betrokkenen.

Als onderbouwing hiervoor geeft u aan waarom het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen.

Voorbeeld
Een derde partij (zoals een hacker) ontdekt een beveiligingsprobleem in uw systeem. Door dit probleem zijn de persoonsgegevens in uw systeem toegankelijk voor onbevoegden. Deze partij geeft dit ter goeder trouw aan u door.

Kunt u met logs aannemelijk maken dat behalve deze derde partij niemand anders onbevoegd toegang heeft gekregen tot de persoonsgegevens? Dan zijn er waarschijnlijk geen ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. En hoeft u het datalek dus niet aan de betrokkenen te melden.

Maar de inbreuk heeft wel nadelige gevolgen gehad voor de bescherming van de persoonsgegevens. Daarom moet u het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens.

Of u dit moet doen, hangt onder meer af van de aard van de persoonsgegevens waartoe de derde partij toegang heeft gehad. Zie verder de Beleidsregels meldplicht datalekken."

Lange lijst natuurlijk maar er zijn tig mededelingen waarom er niet gemeld hoeft te worden. Ik kan me ook wel voorstellen dat menig lek niet gemeld is omdat het nogal aan de "persoonlijke" interpretatie overgelaten wordt wanneer wel en niet te melden.

Voor dat we hier gemeentes amas afbranden moeten we misschien eerst eens helder krijgen wat er nu eigenlijk de bedoeling is.

Edit: Ik wil overigens niet zeggen dat het goed is slechts dat het nogal vaag en vrijblijvende is om te bepalen of iets wel of niet gemeld moet worden.

[Reactie gewijzigd door Rob_03 op 24 juli 2024 13:41]

GoT @Rob_03 • 28 januari 2017 12:43

Vanwege de hoge boetes wordt meestal de volgende regel gehanteerd: "Bij twijfel altijd melden."

Rob_03 @GoT • 28 januari 2017 13:37

Dat geeft het probleem al aan. Er is een lek gevonden in iets als een php mail. Hub allemaal melden dat er mogelijk iets mis is gegaan of naja misschien melden of naja zal wel meevallen laten we maar gokken dat het wel los loopt.

Er komen nogal wat "botjes" langs laten we uit voorzorg maar melden dat er iets mogelijk wellicht gebeurd is.

Verander dan die wetgeving en maak er een altijd melden plicht van. Dan hebben we in elk geval duidelijkheid en niet een vaag verhaal misschien wel misschien niet nodig.

GoT @Rob_03 • 28 januari 2017 22:19

Pas als er persoonsgegevens bij betrokken zijn.
Als je gehacked bent en ze kunnen alleen je mail lezen is er niks aan de hand.
Pas als je persoonsgegevens via mail verstuurd en je bent gehacked dan dien je dat te melden.
Maar als je persoonsgegevens via mail zit te versturen dan kan je beter een ander beroep gaan doen.

Verwijderd @GoT • 29 januari 2017 09:30

Je kunt wel je pasnummers afplakken, en dan doorsturen.
Op basis van jouw naam en foto weten ze genoeg toch?

Daarmee kunnen ze je kaart nog niet klonen.

nullbyte @GoT • 29 januari 2017 02:17

Hahaha, mijn werkgever vroeg me laatst een kopie te maken van mijn ID en deze te e-mailen. Heb gevraagd of ze wel goed bij hun hoofd zijn daar op die afdeling human resources. Dat werd hem dus even niet. Maar ik garandeer je dat minstens 90% van de werknemers in Nederland dit zonder nadenken doet. Het gaat ook vast voor 99,9% goed. Maar dan nog, het lopen van dat risico is niet nodig.

[Reactie gewijzigd door nullbyte op 24 juli 2024 13:41]

codebeat @nullbyte • 29 januari 2017 20:03

Je kan het wel doen alleen moet je de scan kenmerken als zijnde kopie, laatste paar cijfers weglaten etc. Het woord kopie er groot en schuin opzetten. Moet je wel handig zijn met een tekenprogramma. Ik heb er een pdf van gemaakt dat ik altijd kan opsturen. Dus als aan mij, aan een balie bijvoorbeeld wordt gevraagd naar een kopie van mijn ID, stuur ik het op of ik print het zelf voor ze uit. NOOIT meegeven om een kopie te laten maken.

keverjeroen @codebeat • 29 januari 2017 21:31

Nog beter, zet er ook op voor wie de kopie is. Dus naam van bedrijf of persoon waar je hem heen stuurt.

Zarc.oh @codebeat • 29 januari 2017 22:12

Ik gebruik altijd KopieID voor mijn kopieën:

Met de KopieID app kunt u in de kopie de identiteitsgegevens doorstrepen die organisaties niet nodig hebben of niet mogen verwerken. Ook zet u met de app een watermerk in de kopie met daarin het doel en de datum van de kopie. Komt de kopie dan ooit in handen van fraudeurs terecht, bijvoorbeeld door een hack? Dan is het dankzij de KopieID app moeilijker om ermee te frauderen.

BeosBeing @Zarc.oh • 30 januari 2017 09:27

Tja, die app regelt een hoop voor je echter een telefoon-camera is niet echt geschikt voor het maken van reproducties. Eigenlijk is het nog verbazingwekkend hoe goed dat met een telefoon gaat. Met een gewone camera hoef je het zonder speciale macrolens niet eens te proberen en dan nog zit je met het probleem van het goed uitlichten.

Een scanner is echter veel beter, lost eigenlijk alle problemen op behalve dus dat beveiligen. Ik heb hem ook geïnstalleerd maar nog niet geprobeerd. Ideaal zou zijn als een scanner gebruikt en dan kunt importeren in de app, ik weet nog niet of dat ook kan.

nullbyte @codebeat • 30 januari 2017 10:57

Das een goeie, bedankt voor de tip.

Gert @nullbyte • 29 januari 2017 05:11

Niks mis mee zolang je het transport maar veilig afdwingt. Doen wij ook voor klanten.

BeosBeing @nullbyte • 30 januari 2017 09:29

Waarschijnlijk vooral voor de werkgever die geen encryptie-software op de mail heeft of zelfs helemaal geen encryptie gebruikt.

nullbyte @BeosBeing • 30 januari 2017 10:59

Dat bedoelde ik ook, voor mij is het geen moeite.

F_J_K Forummoderator @GoT • 29 januari 2017 21:31

Niets aan de hand, waarom denk je dat? Als je denkt dat een mailbox welk een dikke DB vol met persoonsgegevens is (mailadressen, IP-adressen, i.r.t. specifieke context) geen persoonsgegevens bevat, is het tijd voor een ander beroep

Rob_03 @GoT • 30 januari 2017 10:08

Ik kan er wel een aantal noemen waar je in eerste instantie niet bij stil zou staan. Klanten contact via een Skype, Hangouts of Slack bijvoorbeeld. Werkende op een iPhone. Je verliest de iPhone / Wordt gejat. Echt 100% uitsluiten kan je het niet dat er mogelijk persoonsgegevens "gelekt" zijn. Echt weten wie er mogelijk getroffen zijn? Ik denk niet dat er genoeg overzicht is om dat dan te bepalen.

Wat denk je van een mailtje met een vraagje over access log? IP gegevens zijn ook persoonsgegevens. Er valt niet uit te sluiten dat misbruik mogelijk is. Niet aannemelijk maar het is mogelijk.

Ik heb het natuurlijk niet over het versturen van complete dossiers dat leek me helder.

densoN @Rob_03 • 30 januari 2017 08:55

Als je de tijd neemt om de richtsnoer door te lezen en daarna nog steeds niet weet of je moet melden bel je toch even met de AP om het verhaal voor te leggen? Zo moeilijk is het nou ook weer niet.

Het zal overigens niet lang meer duren (mei 2018) voordat iedere overheidsinstantie verplicht wordt een functionaris gegevensbescherming of data protection officer (engelse naamgeving) aan te stellen. Hetzelfde geldt voor commerciele bedrijven die op grote schaal gegevens verwerken. Het grote voordeel hiervan is dat deze functionaris o.a. wordt betrokken bij beveiligingsincidenten om vast te stellen of het om een datalek gaat.

Rob_03 @densoN • 30 januari 2017 09:41

Dat snap ik en was ook niet zo zeer de kritiek. Het punt is dat als je naar de site van ap gaat en dus kijkt bij melden https://autoriteitpersoon...ing/meldplicht-datalekken. Het eerste wat de "vragen" tonen is vooral wanneer moet je niet melden.

Daarnaast was er en is er niet veel in het bericht besproken over de vraag of er wel gemeld moest worden. Neem het voorbeeld:

"Bij samenwerkingsverbanden tussen gemeenten, bv op het gebied van zorg, kan het fout gaan als gegevens van de ene gemeente toegankelijk zijn voor ambtenaren van de andere gemeente."

Lijkt er op dat dit niet gemeld hoeft te worden. Tenzij men van mening is dat ambtenaren van andere gemeente een gevaar vormen voor persoonsgegevens maar ja dan hebben we geloof ik een groter probleem.

Anyway het ging er vooral om dat het zo lekker helder is allemaal. Zeg dan dat je alles moet melden en niet nou melden misschien mits maar naje zus zo.

densoN @Rob_03 • 30 januari 2017 10:07

Ik snap wat je bedoelt. De informatie op de website zelf is zeker verwarrend. In je voorbeeld m.b.t. samenwerkingsverbanden gaat het nog steeds om een onrechtmatige verwerking, waar dus ook een meldplicht voor geldt.

Dat zou je wel verwachten, in het kader 'beter een te veel' melden wij dan ook ieder incident waar later discussie over zou kunnen ontstaan. En zoveel tijd kost het invullen van het formulier nou ook weer niet.

Rob_03 @densoN • 30 januari 2017 16:52

Kijk en dat is dus het mooie. Kijkende naar deze afbeelding https://ic.tweakimg.net/ext/i/2000874779.png

Aan de ene kant zou je een melding verwachten echter aan de andere kant. Ja het is een datalek maar het is niet aannemelijk dat er sprake is van ernstig nadelige gevolgen. dus kan je net zo goed stellen dat er niet gemeld hoeft te worden.

Is een beetje een herhaling maar het geeft wel aan dat er eigenlijk niet te zeggen is of het nu goed of fout gaat ongeacht hoeveel tijd het invullen kost.

CurlyMo 28 januari 2017 12:30

Wat in de reacties van veel van deze nieuwsberichten ook al aan bod is gekomen. Door te extreme maatregelen worden mensen handelingsverlegen of gaan ze juist rare dingen doen. Als iemand elke drie maanden zijn wachtwoord moet veranderen waarbij het nieuwe wachtwoord compleet anders moet zijn dan het oude wachtwoord, dan gaan mensen weer sneller post-its gebruiken.

Hierbij speelt hetzelfde. Strikt gezien is het sturen van een verkeerd mailtje (zipfile met persoonsgegevens) naar een andere afdeling in de gemeente al een lek zoals ook in de tekst vermeld. Het blijft echter binnen gemeentelijk en niet publiek. Als dit direct wordt gemeld aan het AP, dan worden ambtenaren bang om fouten te maken, en iedereen maakt ze.

Het wordt pas een probleem als de ontvangende collega de versturende collega niet aanspreekt op de fout. Als de fout opnieuw wordt gemaakt, de ontvangende collega de teamleider van de versturende collega er niet op aanspreekt. Oftewel, wanneer er een cultuur is binnen een organisatie waarin er niet een gezamenlijk bewustzijn is voor correcte omgang met privacy gevoelige data.

Het verkeerd verstuurde binnengemeentelijke mailtje is ook nog prima destructief onklaar te maken. Het verkeerd verstuurde mailtje naar een externe organisatie niet. Dat is wat mij betreft toch wel een cruciaal verschil tussen de verschillende datalekken.

[Reactie gewijzigd door CurlyMo op 24 juli 2024 13:41]

Robino @CurlyMo • 28 januari 2017 17:01

Hierbij speelt hetzelfde. Strikt gezien is het sturen van een verkeerd mailtje (zipfile met persoonsgegevens) naar een andere afdeling in de gemeente al een lek zoals ook in de tekst vermeld. Het blijft echter binnen gemeentelijk en niet publiek. Als dit direct wordt gemeld aan het AP, dan worden ambtenaren bang om fouten te maken, en iedereen maakt ze.

Er is inderdaad sprake van een datalek als gegevens bij de verkeerde persoon terecht komen. Daar valt dus ook een interne afdeling onder. Immers, het zou goed kunnen dat de werknemers bij deze afdeling A normaal gesproken niet bij deze gegevens kunnen komen. Stuur je dus intern gevoelige gegevens naar de verkeerde persoon, dan is dat wel degelijk een datalek.

Nou moet het niet zo zijn dat een interne datalek niet wordt besproken. Het is juist belangrijk om te kijken waarom het misgaat. Misschien is de verzender zich niet bewust dat deze gegevens niet naar afdeling A toe mogen. Anderzijds wat doen collega's met informatie die ze ontvangen, maar niet voor hun bedoeld is? Het gaat immers om wat je met het datalek doet: bespreek het, kijk of je maatregelen kan nemen (gebruik bijv. ZIVVER voor het veilig versturen van berichten) en probeer ervan te leren.

[Reactie gewijzigd door Robino op 24 juli 2024 13:41]

WillySis @Robino • 29 januari 2017 15:51

Een datalek binnen de organisatie is geen datalek wat men hoeft te melden. Hiervan kan men zelf namelijk nog onderzoeken of de data vervolgens naar buiten zijn gelijkt. Pas als dat het geval is, moet men het melden.

Een verkeerd geadresseerd mailtje is vervelend, maar dit valt lang niet altijd onder de meldplicht. Ik heb al heel wat mailtjes van verschillende gemeentes gekregen, sommigen inderdaad met privacy gevoelige data. Als ik dat netjes meld aan de afzender en de beloof de mailtjes weg te gooien, dan valt dat niet onder de meldplicht. Slordig is het wel en ik vind het echt beschamend als dit bij herhaling gebeurd.

Binnen organisaties die met privacy gevoelige data omgaan zou er eigenlijk periodiek een voorlichting naar het personeel moeten zijn. Veel mensen hebben geen idee wat ze wel en niet mogen en wat wel de regels binnen een gemeente of bedrijf zijn.

nullbyte @CurlyMo • 29 januari 2017 02:27

Als iemand elke drie maanden zijn wachtwoord moet veranderen waarbij het nieuwe wachtwoord compleet anders moet zijn dan het oude wachtwoord, dan gaan mensen weer sneller post-its

Ik moet zo'n 30 wachtwoorden voor verschillende systemen onthouden en de meest soepele moeten om de 90 dagen gewijzigd worden. Met een beetje nadeken, het op slimme manier gebruiken van speciale tekens, cijfers en vooral acroniemen is dit prima te doen. Dit kan prima in een digitaal versleuteld bestand opgeslagen worden, en het hele wachtwoord hoeft ook niet op de geheugensteun uitgeschreven te worden. Vaak weten mensen ook niet met wachtwoorden om te gaan omdat ze er geen fatsoenlijk systeem voor hebben.

BeosBeing @CurlyMo • 30 januari 2017 09:49

Hierbij speelt hetzelfde. Strikt gezien is het sturen van een verkeerd mailtje (zipfile met persoonsgegevens) naar een andere afdeling in de gemeente al een lek zoals ook in de tekst vermeld.

Als dat mailtje (zonder encryptie zoals PGP/GPG, S/MIME o.i.d.) van vestiging A naar vestiging B gaat over het internet en dus niet via een VPN dan is het dus voor sommige partijen eenvoudig te onderscheppen. Dat is iets dat veel mensen zich niet realiseren. In hoeverre dat ook geld voor ambtenaren en andere gewone kantoormedewerkers is de vraag. Juist omdat dit ook een datalek is, stuurt de bank je hun berichten in hun internet-bankieren-omgeving, maken zorgverzekeraars gebruik van een beveiligde omgeving (meestal via DigiD) voor het insturen van declaraties, maakt de dienst toeslagen gebruik van een beveiligde omgeving (mijn.toeslagen.nl, in te loggen via DigiD), en sluiten veel andere diensten zich aan bij mijn.overheid.nl

Nadeel daar is dan echter weer dat het 1) geen push-omgeving is maar mensen moeten actief gaan inloggen bij die dienst, en dat vaak bij verschillende diensten (zorgverzekering, gemeente, toeslagen, inkomstenbelasting (voor aangifte), UWV, SVB (aow- en pensioen-aanspraken), en diverse pensioenfondsen.

Tweede nadeel is dat dit gezamelijk wel heel veel eggs in één basket (DigiD) worden en ook bij DigiD zijn er kwetsbaarheden, nog af te zien van mensen die helemaal geen DigiD kunnen aanvragen (bv buitenlandse belastingplichtigen, ouderen in een verzorgings- of verpleeg-tehuis) Wat dat betreft heeft België dat al iets beter geregeld met hun eID-chip in hun paspoort (al moet je daar weer een eID-reader bij hebben) en het kunnen krijgen van een token voor buitenlandse belastingplichtigen. Voor dat laatste moet je dan echter weer altijd naar Brussel (ook weer zo'n plaats waar je vanwege verkeersdrukte, parkeerproblemen e.d. juist niet wilt komen) wat voor veel mensen ook weer omslachtig en onbruikbaar is.

offtopic:
edit: 1 typo en toevoegen van encryptie via GPG/PGP of S/MIME naar anleiding van CurlyMo

[Reactie gewijzigd door BeosBeing op 24 juli 2024 13:41]

CurlyMo @BeosBeing • 30 januari 2017 09:57

Als dat mailtje van vestiging A naar vestiging B gaat over het internet en dus niet via een VPN dan is het dus voor sommige partijen eenvoudig te onderscheppen.

Er zijn natuurlijk meer opties, zoals een internet netwerk onbereikbaar van buitenaf, een beveiligde verbinding van je mail verkeer zodat MiM aanvallen niet meer mogelijk zijn. Ook heb je diensten zoals DocZend van KPN waarin je inderdaad in een beveiligde cloud omgeving bestanden kan uitwisselen. Maar in de basis heb je gelijk.

BeosBeing @CurlyMo • 30 januari 2017 10:19

Er zijn natuurlijk meer opties, zoals een internet netwerk onbereikbaar van buitenaf, een beveiligde verbinding van je mail verkeer zodat MiM aanvallen niet meer mogelijk zijn.

Uiteraard was die VPN maar een voorbeeld, wel een die veel tussen verschillende vestigingen van één organisatie voorkomt. Je kunt daarnaast ook gebruik maken van versleutelde e-mail zoals S/MIME, PGP/GPG of Bitmessage. In de praktijk is er haast niemand dat dit gebruikt en de eerste variant die standaard ingebouwd zit in een bekend commerciëel e-mail programma vereist daarbij ook nog eens een (SSL/TLS-)certificaat (of betaald of in de gratis variant door iedereen aan te vragen zonder identiteitscontrole) zodat het voor vrijwel niemand echt een optie is.

Ook heb je diensten zoals DocZend van KPN waarin je inderdaad in een beveiligde cloud omgeving bestanden kan uitwisselen. Maar in de basis heb je gelijk.

Veel organisaties vertrouwen webapplicaties niet, eisen dat werknemers alleen gebruik maken van interne, door de IT-afdeling beschikbaar gemaakte tools. Daarnaast vergt DocZend een pkioverheid-certificaat. Voor gemeenten en andere overheden is dit misschien een oplossing, het kost ook weer veel geld. Ook voor bedrijven die veel zaken doen met de overheid is dit mogelijk haalbaar, maar voor bedrijven die juist geen of nauwelijks zaken doen met de overheid maakt dit de dermpel alleen maar groter. Daarbij wordt er bij het inloggen gebruik gemaakt van een Java-component (=onveilig) die daarbij ook nog eens (voetnoot pagina 3) voldoende gebruikersrechten op uw PC - lees: admin-rechten- dient te beschikken
Kortom een draak van een systeem.

RadioKies 28 januari 2017 12:38

Net voor kerst een nieuw paspoort aangevraagd. Ik vroeg voor de grap waar de gegevens van mijn vingerafdrukken bewaard worden ivm alle slechte databewaking van gemeentes (en in die grevo gemeente van mij zal het IT gedeelte wel nog minder beheerd zijn).
"alleen op uw paspoort mijnheer, ze worden verder nergens nooit opgeslagen".
Maar, voordat mijn paspoort gemaakt is worden die gegevens ergens opgeslagen.
"nee hoor, er worden geen gegevens zoals vingerafrukken opgeslagen"
Maar ik geef nu mijn vingerafdrukken af en voordat dat paspoort er is, waar bewaren jullie die dan?
"...ohja, dan zal dat wel ergens tijdelijk bewaard worden"
ohja...

en dan lees je weer zo een bericht als dit op Tweakers. Als ik crimineel was zou ik sowieso beroepen op bewijs niet te accepteren als het iets is zoals vingerafdrukken.

KillerAce_NL @RadioKies • 28 januari 2017 12:47

Paspoorten is een landelijk systeem dat op aparte pc's draait die connecten naar een datacenter. Staat niets van bij de gemeente zelf.

Ik lees hier veel onderbuikgevoelens. Hou er wel even rekening mee dat als er b.v. een laptop wordt gestolen en men niet 100% kan BEWIJZEN dat er geen persoonsgegevens opstaan, dit ook als data lek wordt gemeld.
B.v een tech-support guy die er alleen zijn tooling op heeft staan en ook zeker weet dat er geen data op staat, moet toch aan zijn security manager doorgeven dat er een mogelijk lek is.

CAPSLOCK2000

Datalek
Politiek en recht
Netwerk en systeembeheer

@KillerAce_NL • 28 januari 2017 14:40

Ik lees hier veel onderbuikgevoelens. Hou er wel even rekening mee dat als er b.v. een laptop wordt gestolen en men niet 100% kan BEWIJZEN dat er geen persoonsgegevens opstaan, dit ook als data lek wordt gemeld.
B.v een tech-support guy die er alleen zijn tooling op heeft staan en ook zeker weet dat er geen data op staat, moet toch aan zijn security manager doorgeven dat er een mogelijk lek is.

Zo heet wordt de soep ook weer niet gegeten. Je hoeft niet te bewijzen dat er geen gegevens op staan. Als jij zegt dat het niet zo is dan is dat voldoende en hoef je niks te melden. Niet bij je baas en niet bij de overheid. Maar... als later blijkt dat het toch zo is dan kun je een stevige boete krijgen. Daarom kiezen veel organisaties er voor om die beslissing niet door de medewerker zelf te laten maken maar door een gespecialiseerde security manager.

unaco @CAPSLOCK2000 • 28 januari 2017 22:39

Heb je een bron dat? Volgens mij is het bij de Meldplicht namelijk precise andersom.
Je bent wel degelijk schuldig tot je je onschuld bewezen hebt.

niki_lauda @RadioKies • 28 januari 2017 12:47

Voor een groot deel klopt het antwoord wel. De gegevens worden niet bewaard op de gemeentelijke systemen. De vingerafdrukken en zelfs de scanners met bijbehorende apparatuur zijn van het rijk en hangen zelfs als de voorschriften goed zijn gevolgd in een apart netwerk.

En ik neem aan dat VINGERAFRUKKEN nooit worden bewaard

[Reactie gewijzigd door niki_lauda op 24 juli 2024 13:41]

Technomania

@niki_lauda • 28 januari 2017 13:49

Als toevoeging op je post

Opslag vingerafdrukken

Totdat uw paspoort is uitgereikt, worden uw vingerafdrukken bewaard in de reisdocumentenadministratie. Na de uitreiking worden uw vingerafdrukken uit de administratie verwijderd. Deze staan dan alleen nog in de chip in uw paspoort.

bron: https://www.rijksoverheid...-paspoort-vingerafdrukken

BeosBeing @Technomania • 30 januari 2017 09:52

[quote]Totdat uw paspoort is uitgereikt, worden uw vingerafdrukken bewaard in de reisdocumentenadministratie. Na de uitreiking worden uw vingerafdrukken uit de administratie verwijderd. [quote]

En in de week die dat duurt wordt het 7 keer geraadpleegd door de NSA. Iedere niet-Amerikaan is immers een potentiële terrorist.

BoringDay @niki_lauda • 28 januari 2017 13:44

Vingerafdrukken (met een d $_/-\o_$ ) zijn volgens mij ook helemaal niet meer toegestaan.

SED @BoringDay • 28 januari 2017 14:49

https://www.nrc.nl/nieuws...r-nieuw-paspoort-a1407023

Blokker_1999

Politiek en recht
Datalek
Netwerk en systeembeheer

@RadioKies • 28 januari 2017 12:52

Hoe moet de persoon aan de balie nu weten hoe het technisch werkt? Zij weten alleen dat wanneer het paspoort eenmaal gemaakt is de data verwijderd dient te worden door de firma die ze aanmaakt. Het is alsof je aan de kassierster vraagt of je net gekochte broek door kinderen is gemaakt... .

RadioKies @Blokker_1999 • 28 januari 2017 13:27

Gemeentemedewerkers moeten NVVB examens doen voor bepaalde functies. In die examens komt bij identificatie bijvoorbeeld heel veel naar voren over details van paspoorten van alle landen. Ook zijn die examens bedoeld om de kennis te meten dat ze weten hoe iets in elkaar steekt en in staat zijn klanten/burgers te kunnen informeren. Dit soort dingen waar ik (en ik lees/hoor vaak genoeg van anderen ook) mij enigszins druk om kan maken, mogen ze van mij dan ook wel weten hoe dat is.

Blokker_1999

Politiek en recht
Datalek
Netwerk en systeembeheer

@RadioKies • 28 januari 2017 18:00

Alleen is er een groot verschil tussen weten dat het niet permanent bewaard wordt en weten op welke systemen precies de tijdelijke bewaring gebeurd en welke veiligheidsprocedures daar allemaal rondhangen.

Triblade_8472 @Blokker_1999 • 29 januari 2017 12:50

Dus ze weten wel waar het fysieke papiertje is, maar niet de belangrijke digitale vingerafdruk? Ik zie het verschil niet tussen een plek met archiefkasten en een plek met servers.

O/T.
Iedereen is te bang geworden om hard in t nieuws te komen. Ik snap best dat niemand lekken meer wilt melden.

Daarin tegen, als de verantwoordelijke van het lek persoonlijk een dikke extra boete krijgt als er geen melding is gedaan, dan gaat dat wel helpen imo.

En zoals helemaal bovenin genoemd is moeten de regels dan wel veeeeel duidelijker worden!

LopendeVogel @Blokker_1999 • 30 januari 2017 13:30

Volledig mee eens, men denkt altijd maar dat een klantenservice/baliemedewerker alles moet weten, alle ins en outs van het bedrijf.. Maar dat kan toch niet? Zelfs de directeur zal niet eens elk klein dingetje weten.
Voor die ene persoon in de 20 jaar die zulke vragen stelt aan een baliemedewerker, daarvoor hoef je ze niet voor tonnen belastinggeld op te leiden toch?

Het zou me niet eens verbazen indien een doorsnee gemeente it-er het je niet op de detail kan vertellen, ook die zal dat vermoedelijk moeten navragen.

Zelfde als dat ik aan RadioKies vraag (stel hij heeft verstand van computers en werkt daar dagelijks mee): via welke circuits op het moederbord lopen precies die en die data? Dus niet vanaf de CPU naar de HDD, terug naar de CPU en zo door naar de GPU (voorbeeldje), maar echt tot op de detail via welke baan het op het moederbord gaat.
Stel hij weet dat niet, is het dan gelijk een schande? Nee toch?

Ik ben juist blij dat een baliemedewerk(st)er van de gemeente dit soort kritische details niet weet of vergeten is. Ze dienen zulke info niet eens te weten, mocht iemand dat perse weten dan gaat dat maar via een leidinggevende oid (of het contactformulier). Met zulke info/vragen ga je geen baliemedewerk(st)er lastig vallen.

Ik ga ook niet aan een pompmedewerk(st)er vragen waar precies de beelden van de camera's naartoe gaan, welke ingrediënten er precies in de benzine zitten, en hoe dik het glas tussen haar/hem en mij is... Wat zou haar/hem dat een rotzorg zijn?

LankHoar 28 januari 2017 12:15

16 op de duizend, dat is 1,6%. Veel meer dan ik dacht, en heb er in mijn omgeving eigenlijk nog nooit van gehoord. Wat valt er dan eigenlijk allemaal onder? Leningen, aankopen in jouw naam, maar wat nog meer?

[Reactie gewijzigd door LankHoar op 24 juli 2024 13:41]

Verwijderd @LankHoar • 28 januari 2017 15:00

Dat een ambtenaar van een gemeente per ongeluk een lijstje met daarin nog een kolommetje met BSN krijgt wil niet zeggen dat hij daar gelijk leningen op afsluit.
Als iemand zn laptop wordt gejat wil niet zeggen dat de dief op de HD op zoek gaat naar data.

Verwijderd @Verwijderd • 29 januari 2017 06:27

Er zou geen data op dragers bewaard moeten worden en toegang alle middels tweede authenticatie.

Verwijderd @Verwijderd • 29 januari 2017 07:59

Natuurlijk is dat veiliger, maar mensen moeten ook nog werken.

Verwijderd @Verwijderd • 29 januari 2017 09:41

Hiervoor is het niet nodig om op stick, laptop en desktops data te hebben staan; zelfs niet tijdelijk. Weet leven niet meer in het vorig millennium

Fermion 28 januari 2017 12:14

De gemeentes hebben namelijk een eigen CERT met KING/VNG, kennelijk zo verstookt in hun procedures dat enige adequate handelen wordt verstookt door het bureaucratisch theoretische Incompetentie. Verdiep je er maar is in, je schrikt wat voor type mensen daar werken en ondertussen houden ze een hand boven hun eigen hoofd... zo triest.

Edit: ze hebben de middelen, maar niet de juiste mensen en competentie voor het huidige werk (ik heb een kijkje in de keuken mogen nemen).

[Reactie gewijzigd door Fermion op 24 juli 2024 13:41]

Blokker_1999

Politiek en recht
Datalek
Netwerk en systeembeheer

@Fermion • 28 januari 2017 12:48

Zeker van dat ze de middelen hebben? Het is niet omdat iets met belastinggeld gebeurd dat ze zomaar een eindeloze put hebben waar ze geld uit kunnen halen. Ook steden en gemeentes hebben beperkte middellen waarmee ze moeten beslissen welke projecten ze wel en niet uitvoeren.

Bureaucratie en incompetentie vind je overal. Niet enkel bij de overheid. Al zijn er blijkbaar vele mensen die nog altijd denken dat het enkel bij de overheid misloopt.

Sergelwd @Blokker_1999 • 28 januari 2017 15:36

Het grote verschil is dat jij geen keuze en controle hebt over wat ze op gemeentelijk niveau allemal uitspoken, en wij daar allemaal de dupe van zijn.

Er zouden wat mij betrefd celstraffen mogen staan voor de verantwoordelijke managers op nalatig omgaan met persoonssgegevens, en dubbele straffen als je mensen dwingt om je gegevens in een incompetente kring achter te laten.

jpsch 28 januari 2017 12:25

Als je ziet wat er op landelijk niveau gebeurt met geen verplichte htpps en gebruik van privé mailaccounts, dan kun je ook niet verwachten dat het bij een gemeente beter gaat.

litebyte @jpsch • 28 januari 2017 15:09

Daarnaast komt nog dat er vanuit overheidswege gebruik wordt gemaakt van tal van externe bedrijven. Een overheid die door gebrek aan kennis haar verantwoordelijkheid neerlegt bij bedrijven als FOX-IT...

laptopleon @litebyte • 29 januari 2017 15:59

Fox-it, dat zelf intussen in Britse handen is nota bene..

litebyte @laptopleon • 29 januari 2017 20:44

FOX_IT is onderdeel van NCC Group, dat werkt voor MI6

Het schijnt dat niet iedereen bij de overheid zo blij is met FOX-IT

Valandin 28 januari 2017 12:13

Gaan hier ook boetes voor uitgedeeld worden of gaat dat dan niet gebeuren omdat het overheidsinstanties zijn?

"Waarschuwen" voor risico's is een kul oplossing. Gemeentes verplichten een Security team in te stellen die zorgen dat alles goed beveleigd is én blijft.

USB Sticks verbieden, laptops encrypten met bitlocker & tpm, geen zakelijke mails naar privé mail sturen.. Ben zelf geen security expert maar zo moeilijk hoeft het toch niet te zijn.

[Reactie gewijzigd door Valandin op 24 juli 2024 13:41]

Verwijderd @Valandin • 28 januari 2017 12:20

Al krijgen ze een boete, dan betalen we hem nog met zijn allen. Want ze leven alleen op belastinggeld, die gemeenten.

Valandin @Verwijderd • 28 januari 2017 12:23

Mee eens. Ik vind dat er in plaats van een geldboete er gewoon een verplichting bij moet komen dat;

-Er een overheidsinstantie ingericht wordt die de security gaat beheren/onderhouden van alle gemeentes.
-Er per gemeente een security team opgericht moet worden die de gemeente goed beveiligd en goed onderhoud.

Het kost inderdaad meer geld. Maar we leven in 2017. Cybercrime is erg serieus en beveiligen van persoonsgegevens is enorm belangrijk. Al helemaal voor gemeentes die zo goed als al jou gegevens kunnen inzien.

Dit kan natuurlijk een naïefe gedachte zijn, in werkelijkheid zal het een stuk lastiger zijn. Nogmaals ik ben geen security expert en ben ook niet bekend met de infrastructuur van gemeentes.

[Reactie gewijzigd door Valandin op 24 juli 2024 13:41]

Fermion @Valandin • 28 januari 2017 12:44

Die hebben ze al met KING, onder VNG, met een eigen CERT....!

Ze steken hier al miljoenen in.... maar het werkt niet.

Wel leuke informatie:
https://www.ibdgemeenten.nl/downloads/

[Reactie gewijzigd door Fermion op 24 juli 2024 13:41]

bytemaster460 @Valandin • 28 januari 2017 12:43

Het probleem ligt vaak niet het veiligheidsbeleid, maar bij de gebruiker die zich niet aan de regels houdt. Dat ga je niet oplossen met securityteams. Men kan wel alles gaan dichtspijkeren, maar dat betekent in de praktijk vaak dat je onwerkbare situaties creëert.
In de praktijk moet je gewoon kiezen voor een middenweg tussen veiligheid en werkbaarheid en dan blijf je afhankelijk van de professionaliteit van de gebruiker.

CAPSLOCK2000

Datalek
Politiek en recht
Netwerk en systeembeheer

@bytemaster460 • 28 januari 2017 14:32

In de praktijk moet je gewoon kiezen voor een middenweg tussen veiligheid en werkbaarheid en dan blijf je afhankelijk van de professionaliteit van de gebruiker.

Je hebt gelijk dat het wel werkbaar moet blijven, maar ik ben bang dat de professionaliteit van de gebruiker niet genoeg is. Naar mijn mening hebben de meeste gebruikers namelijk niet de kennis om veiligheid te beoordelen, dat is namelijk zeer gespecialiseerd werk.
Vertrouwen op de professionaliteit van de gebruiker is wat we de afgelopen 20 jaar hebben gedaan en het is niet goed genoeg gebleken.
Tegelijkertijd ben ik het ook met je eens dat alles helemaal dichtspijkeren niet de oplossing is, daar gaan mensen om heen werken. We zouden het kunnen oplossen door te zorgen dat mensen die kennis wel krijgen maar dat is, als het al haalbaar is, iets voor de zeer lange termijn. Daar kunnen we niet op wachten.

In de tussentijd kunnen we een paar dingen doen die veel helpen om het probleem in te perken.
1. Verzamel niet meer informatie dan strict noodzakelijk. Wat er niet is kan niet lekken.
2. Encryptie-by-default, inclusief full-disk-encryption. Nu is dat meestal nog een keuze van de gebruiker. Maak encryptie de default.
3. Garantie op software. Nu is de software wereld net het wilde westen, je krijgt garantie tot de deur en daarna geldt het recht van de sterkste. Als je niet tevreden bent dan is het haast onmogelijk om je geld terug te krijgen, fouten te laten herstellen of schade te laten vergoeden.
4. Verzekeringen tegen softwarefouten. Veiligheid en betrouwbaarheid van software is erg moeilijk te beoordelen en speelt daarom nauwelijks een rol in het selectieproces. Daarom worden opdrachten meestal toegewezen aan de goedkoopste aanbieder, niet aan de veiligste. Als het fout gaat heeft zo'n aanbieder typisch niet de kennis en kunde in huis om het probleem op te lossen, als dat al kan zonder volledige rewrite. Als zo'n bedrijf daar toch toe gedwongen zou worden dan gaan ze failliet. De klant zit dan alsnog met de brokken. Daarom wil ik dat softwarehuizen zich hier tegen verzekeren; als ze failliet gaan dan zorgt de verzekering voor de software. De verzekeraar zal eisen stellen aan de verzekerde software waardoor de kwaliteit stijgt.

BeosBeing @CAPSLOCK2000 • 30 januari 2017 10:39

Als het fout gaat heeft zo'n aanbieder typisch niet de kennis en kunde in huis om het probleem op te lossen, als dat al kan zonder volledige rewrite. Als zo'n bedrijf daar toch toe gedwongen zou worden dan gaan ze failliet. De klant zit dan alsnog met de brokken.

Daarom zou van deze software de broncode beschikbaar moeten zijn.
Gaat de leverancier failliet, dan kan een ander met kennis van zaken het eventueel oppakken. Zonder broncode is dat onmogelijk.

Tevens zou dit een oplossing zijn als men omdat men ontevreden is, over wilt stappen naar een andere leverancier. Nu zit men met een Vendor-lock-in. Als de software niet voldoet kan men toch niet weg.

Om de leverancier te beschermen tegen stelen van bedrijfsgeheimen zou een tussenoplossing kunnen zijn dat de broncode versleuteld bij de klant beschikbaar is en dat die sleutel steeds vernieuwd moet worden. Wordt die niet vernieuwd (leverancier failliet) dan wordt de broncode leesbaar en kan een ander daarop verder ontwikkelen.

Daarom wil ik dat softwarehuizen zich hier tegen verzekeren; als ze failliet gaan dan zorgt de verzekering voor de software. De verzekeraar zal eisen stellen aan de verzekerde software waardoor de kwaliteit stijgt.

Dat is ook iets dat helpt, maar als de leverancier om een andere reden failliet gaat, of de leverancier wordt overgenomen door een andere partij die besluit de ontwikkeling niet door te zetten, dan zit de klant alsnog met een probleem. Open souce is dus gewoon beter.

mashell @bytemaster460 • 28 januari 2017 13:59

In de praktijk moet je gewoon kiezen voor een middenweg tussen veiligheid en werkbaarheid en dan blijf je afhankelijk van de professionaliteit van de gebruiker.

Daarom zou ik zeggen dat als de gebruikers de regels gaan negeren en omzeilen het juist aan het veiligheidsbeleid ligt. Dat sluit dan niet meer aan op de behoefte. Het werk moet wel gedaan kunnen worden.

bytemaster460 @mashell • 28 januari 2017 14:03

Daar ligt juist het spanningsveld. Sommige zaken kun je niet veilig regelen zonder de behoefte aan te tasten. Dat kan misschien wel in een bedrijf met een handjevol medewerkers, maar niet in bijv. een ziekenhuis met 5000 medewerkers en tientallen of honderden disciplines.

Valandin @bytemaster460 • 28 januari 2017 12:50

Tuurlijk. Maar je kan wel zorgen dat er goede oplossingen zijn voor het geval dat een gebruiker een fuck-up maakt. Denk aan encryptie of op afstand deleten van OS/Telefoon.

Ook dat heeft een grote foutmarge en hoeft niet goed te gaan. Maar het is altijd beter dan een mobiel/laptop/usb kwijtraken zonder enige encryptie / mogelijkheid tot leeghalen. 90% van de mensen die zo'n ding dan vind zal niet weten wat ze er mee aan moeten.

(Ook bovenstaande moet gerapporteerd worden omdat het altijd nog gekraakt kan worden. Maar dan is de kans op werkelijk informatie kwijtraken al een stuk kleiner)

[Reactie gewijzigd door Valandin op 24 juli 2024 13:41]

niki_lauda @Valandin • 28 januari 2017 12:42

Gaan we dit dan ook voor bedrijven doen? Want ik denk dat we van bedrijven nog veel minder datalekken horen omdat die nog meer onder de pet houden.

Even een aanvulling. Blijkbaar is het vandaag Data protection Day.
De Consumentenbond heeft een groot artikel over lekken bij medische online zelftest.
https://www.consumentenbo...ts?CID=EML_NB_NL_20170128

[Reactie gewijzigd door niki_lauda op 24 juli 2024 07:10]

Valandin @niki_lauda • 28 januari 2017 12:47

Ik vind niet dat in deze zaak vergelijkbaar is met een bedrijf. Een overheidsinstantie die over érg veel informatie over jou beschikt is toch even anders als een bedrijfje dat je naam+woonplaats opgeslagen heeft.

Verder wordt er wel streng op gerapporteerd en bedrijven die het onder de pet houden worden daar flink voor gestraft.

Dus ja - voor een MKB begrijp ik dat er geen security afdeling is, daar wordt vanuit IT (Systeem/Netwerkbeheer) security vaak behandeld. Voor enterprises vind ik het wel erg belangrijk dat er een security team is. Maar dat is bij de meeste bedrijven volgens mij ook.

Blokker_1999

Politiek en recht
Datalek
Netwerk en systeembeheer

@Valandin • 28 januari 2017 12:55

En daar redeneer je onmiddelijk al foutief. Veel informatie staat opgeslagen in centrale registers en moet door de gemeente ook daarin geraadpleegd worden. Zoveel data hebben zij lokaal niet opgeslagen staan.

Vele gemeenten zijn ook niet meer dan kleine bedrijven. Daar werken geen duizend mensen en ze gaan niet met miljarden om.

En tenzij we de aard van de datalekken kennen weten we zelfs niet eens of er een meldplicht is geweest voor de niet gemelde lekken.

Valandin @Blokker_1999 • 28 januari 2017 16:09

@Blokker_1999, @Niki_Lauda, @F_J_K

Allen, dank!
Fijn dat er zo goed beargumenteerd en inhoudelijk op gereageerd wordt.
Word mijn beeld van de situatie ook weer een stuk beter van.

niki_lauda @Valandin • 28 januari 2017 13:12

Als jij de lijst bekijkt van het aangehaalde artikel van niet gemelde en gemelde casussen bekijkt kan het niet zijn dat die situaties bij bedrijven dit ook voorkomt. Het klopt dat de overheid met name vaker het BSN gebruikt, maar ID fraude is heel goed mogelijk zonder BSN. Als je kijkt wat een gemiddelde webshop/bank/verzekering aan gegevens vraagt is met die gegevens heel goed mogelijk om ID-fraude te plegen.

Lees de casussen maar eens dan zie je dat alles ook in een andersoortige organisatie bedrijf voor kan komen en naar mijn mening ook voorkomt. En vooral omdat er mensen werken die allemaal dit soort fouten maken.

[Reactie gewijzigd door niki_lauda op 24 juli 2024 13:41]

F_J_K Forummoderator @Valandin • 28 januari 2017 13:34

De gemeente weet je NAW, misschien of je een extra vuilnisbak hebt of een parkeervergunning. En als je een uitkering krijgt o.i.d. ook een klein deel van je financiële en persoonlijke situatie. Nou ja, en soms wat meer. Maar:

Je bank weet in detail wat je waar wanneer aan wie uitgeeft. Je kabel-TV maatschappij weet welke pr0n-kanalen je kijkt (en Netflix dat je fan bent van %kinderserie%). Een half dozijn bedrijven (verkoper, dropshipper, logistieke clubs, banken) weet van die sexspeeltjes die je bestelde. Je internet- en je telefoonproviders hebben die gesprekken toen je vreemd ging. En zowel je telefoon-OS-maker als een cloud-opslagpartij hebben de foto's van je naakt spelende jonge kinderen, en die spannende foto's toen je dronken je vrouw mistte. Albert Heijn heeft in databases staan dat je vrouw zwanger is, jij een drankprobleem hebt en stiekem tijdens werktijd boodschappen doet. Zowel het ziekenhuis, je huisarts, een specialistisch bedrijfje en een paar ZZP-ende medici hebben de resultaten van je SOA-test. De autofabrikant, TomTom en met pech de lokale garage hebben in (al dan niet tijdelijke) databases je bezoekjes aan de lokale hoerentent en de methadonkliniek. Etc.

Dan liever dat een CC-tje van een mailtje van de gemeente op straat komt... (Of nog liever natuurlijk niets). Gemeenten hebben in de regel al wel data protection officers o.i.d. Kleinere bedrijven niet per se. Laat staan MKB ondanks dat ook een ZZP'er persoonsgegevens van duizenden mensen kan hebben.

Willekeurige ietwat overdreven voorbeelden, enige relatie met de waarheid is geheel toevallig

[Reactie gewijzigd door F_J_K op 24 juli 2024 13:41]

BeosBeing @F_J_K • 30 januari 2017 10:45

En als je een uitkering krijgt o.i.d. ook een klein deel van je financiële en persoonlijke situatie. Nou ja, en soms wat meer.

Als je een uitkering aanvraagt moeten ze precies inzicht hebben in je financiële situatie hoor. Heb je 'te veel' geld, een auto op je naam of een huis met hypotheek dan krijg je dus die uitkering niet.

Cergorach @Verwijderd • 28 januari 2017 12:47

Kan de persoon die daar voor verantwoordelijk is niet beboet worden? Volgens mij worden verkeersboetes tijdens werk ook niet vergoed door de 'baas'...

mashell @Cergorach • 28 januari 2017 13:21

Volgens mij worden verkeersboetes tijdens werk ook niet vergoed door de 'baas'

Volgens mij is de baas dat zelfs verplicht. Dat is al vaker voor de rechter geweest.
Maar waarom zou je iemand die gewoon zijn werk bij sociale doet en een telefoon verliest met daarin telefoonnummers nou weer moeten beboeten. Wat gaat dat helpen?
Ik hekel echt de huidige maatschappij waarin de naieve gedachte heerst dat je alle fouten en criminaliteit kunt voorkomen door overal maar draconische boetes voor op te leggen. Niet alleen helpt dat helemaal niks, je krijgt er een gruwelijke nare samenleving met doodsbange mensen omdat een kleine misstap (bijvoorbeeld een paar km/h te snel) ze al snel een half maandsalaris kost. Het wordt tijd dat we weer leren relativeren en realistisch zijn.

BeosBeing @mashell • 30 januari 2017 11:31

Volgens mij is de baas dat zelfs verplicht. Dat is al vaker voor de rechter geweest.

In tegendeel, verkeersboetes begaan met een voertuig van het werk worden vrijwel altijd doorberekend aan de werknemer, meestal verrekend met het salaris.

Enkel bij beroeps-chauffeurs gebeurt het zijn dat werkgevers zeggen boetes te vergoeden, bv om nog ergens te kunnen laden of op tijd ergens te kunnen lossen. Maar op het moment dat er dan iets gebeurt is het toch echt de chauffeur die er op aangesproken wordt. Zeker bij overtreding rijtijdenwet, maar ook bij overtreden maximum snelheid. Met het huidige digitale rijbewijs en de digitale tachograaf worden er trouwens ook boetes opgelegd tot 3 weken na de overtreding en in een ander land als de overtreding is begaan. Dan kan 1 minuut te lang gereden hebben of 1km te hard gereden hebben leiden tot boetes van €500 of €1000.

Maar waarom zou je iemand die gewoon zijn werk bij sociale doet en een telefoon verliest met daarin telefoonnummers nou weer moeten beboeten. Wat gaat dat helpen?

Waarom moet dat in een mobiele telefoon staan, en dan nog onversleuteld?

Ik hekel echt de huidige maatschappij waarin de naieve gedachte heerst dat je alle fouten en criminaliteit kunt voorkomen door overal maar draconische boetes voor op te leggen.

Dat is inderdaad de tendens, en de pakkans blijft in alle gevallen nagenoeg 0 zodat er eveneens geen incentive is om gedrag te veranderen waar dat wel zou kunnen. (Zeker bij verkeersboetes speelt dit in Nederland. Zolang mensen 1 hooguit 2 keer per jaar geflitst worden blijven ze gewoon te hard rijden en de vaste flitspalen weten ze al te staan)

Het systeem is gewoon een inkomstenbron geworden van de (r)overheid, zeker wat verkeersboetes betreft. Ook die andere boetes komen gewoon in de schatkist bij de grote hoop

Niet alleen helpt dat helemaal niks, je krijgt er een gruwelijke nare samenleving met doodsbange mensen omdat een kleine misstap (bijvoorbeeld een paar km/h te snel) ze al snel een half maandsalaris kost.

Bij de weinig verdienenden, die nu al nauwelijks kunnen rondkomen inderdaad.
De overigen kan het (zolang ze geen puntenrijbewijs hebben) weinig schelen.
In Finland zijn de boetes inkomensafhankelijk, dat is iets beter maar zal ook weer alleen tot verhoging leiden en niet tot het vergroten van de pakkans. (en met buitenlanders is dat inkomen dan weer niet te verifiëren)

Het wordt tijd dat we weer leren relativeren en realistisch zijn.

Daar is in het huidige politieke systeem geen incentive voor. De kamer stond een jaar of 10 geleden op zijn kop als bleek dat (met behulp van navigatiesystemen) mensen toch harder kunnen rijden als de maximaal toegestane snelheid zonder een boete te krijgen, dit vanwege de correctie van de meetsystemen van de politie (gevolg van een uitspraak van de Hoge Raad op 12 december 1995).

Dat die meetsystemen ook wel eens naar boven kunnen afwijken, en dus een hogere snelheid meten als er werkelijk gereden wordt maakte voor die kamerleden niets uit. Dat sommige mensen ook wel 30 jaar lang te hard kunnen rijden zonder beboet te worden, simpelweg omdat ze toevallig niet gecontroleerd worden, wordt ook gewoon vergeten (Er zijn mensen die pas na 30 40 jaar rijden zonder rijbewijs gecontroleerd worden, dit is diverse keren in de media geweest) In tegendeel, wie denkt ten onrechte beboet te zijn (en ook dat gebeurt) krijgt binnenkort een extra boete als hij bezwaar maakt.

Zo weegt men in Den Haag ook de koopkrachtcijfers, door tot het tweede cijfer achter de komma (100-sten van procenten dus) voor minima tot modaal in een paar scenario's, maar waar het werkelijk om gaat, en dat er dus steeds mensen zijn die tussen wal en schip vallen (en er dus wel 100-den euro's op achteruit gaan terwijl ze het al krap hebbem), daar wordt geen rekening mee gehouden.
Zo is ook de kloof ontstaan tussen de sociale-huurwoning-prijzen enerzijds en de vrije sector anderzijds waarbij een steeds grotere groep mensen niet in staat is om überhaupt een huis te kopen, vrije-sector-huren niet kunnen betalen en niet in aanmerking komen voor een sociale huurwoning (omdat ze daarvoor teveel verdienen) of daar zelfs uitgejaagd worden met jaarlijkse extra huurverhogingen.
Het bestaan van dit topic is veelzeggend, en ook hier wordt slechts één voorbeeld gegeven.

Nee wat mij betreft zijn ze daar in Den Haag de weg volledig kwijt. Daar gaan ook de verkiezingen in 2017 niets aan veranderen.

[Reactie gewijzigd door BeosBeing op 24 juli 2024 13:41]

niki_lauda @Verwijderd • 28 januari 2017 12:53

Ook de boetes die bedrijven krijgen betalen we indirect. Zo betalen we ook voor de commerciële zenders indirect via de marketing budgetten van de bedrijven.

LankHoar @Valandin • 28 januari 2017 12:16

Heb je de eerste alinea wel gelezen?

Het verzuimen van een melding kan op boetes uitlopen.

Het probleem is dat dit allemaal gedecentraliseerd is; iedere gemeente is zelf verantwoordelijk voor het verzorgen van een goede oplossing. Imo is allang gebleken dat dit niet werkt, dus tijd voor een aanpak van hogeraf.

[Reactie gewijzigd door LankHoar op 24 juli 2024 13:41]

Valandin @LankHoar • 28 januari 2017 12:18

Je leest het zelf toch, 'kan'.
Dit is nu de zoveelste keer dat we iets horen over gemeentes en datalekken maar er is nog nooit een consequentie aan verbonden geweest. Het is telkens 'Waarschuwen' en 'Opnieuw inlichten'

Als dit een particulier bedrijf betreft dan is de overheid er direct bij en kan de tent bijna per direct sluiten aan de hoogte van de boete.
(Wat overigens deels een goed iets is. Maakt het absoluut niet aantrekkelijk om een datalek geheim te houden)

[Reactie gewijzigd door Valandin op 24 juli 2024 13:41]

Blokker_1999

Politiek en recht
Datalek
Netwerk en systeembeheer

@Valandin • 28 januari 2017 12:46

De reden dat er staat "kan" is omdat ook niet elk lek automatisch gemeld moet worden. Het is dus niet omdat de helft van de lekken niet gemeld is, dat elk niet gemeld lek wel had gemeld moeten worden.

En de AP gaat gemeenten niet anders behandellen dan bedrijven. Daar hebben zij geen enkele reden toe. Hoeveel bedrijven hebben er al een boete opgelegd gekregen omdat ze ofwel een lek niet gemeld hebben of omdat ze verzuimd hebben een adequate beveiliging op te zetten?

sarcast @Blokker_1999 • 30 januari 2017 11:08

_{Brede Meldplicht datalekken

Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten van inbreuken op de beveiliging van persoonsgegevens (artikel 11.3a Telecommunicatiewet).

Datalekken op grond van deze zogenaamde smalle meldplicht moeten sinds 1 januari 2016 worden gemeld bij de Autoriteit Persoonsgegevens. De bijbehorende boetes wijken af van de boetes die gelden bij een overtreding van de Wbp.

De algemene meldplicht datalekken voor bedrijven en overheid wordt ook de brede meldplicht genoemd. Deze meldplicht wordt opgenomen in een nieuw artikel in de Wet Bescherming Persoonsgegevens (Wbp): artikel 34a. De klemtoon bij deze meldplicht ligt op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten -als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). De AP is de overheidsinstantie die toeziet op een zorgvuldig gebruik van persoonsgegevens. Nederland loopt met de Wet Meldplicht Datalekken vooruit op de Algemene Verordening Gegevensbescherming waarin ongeveer dezelfde bepalingen zijn opgenomen.}

"..Deze datalekken moeten -als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP)."

Tja, voldoende ernstig. Wat is ernstig.
Als mijn gegevens gelekt zijn, vind ík dat vrij ernstig, maar de gemeente boer denkt waarschijnlijk 'bwoah, het was er máár 1'.

Iblies @Valandin • 28 januari 2017 19:20

Je leest het zelf toch, 'kan'.
Dit is nu de zoveelste keer dat we iets horen over gemeentes en datalekken maar er is nog nooit een consequentie aan verbonden geweest. Het is telkens 'Waarschuwen' en 'Opnieuw inlichten'

Als dit een particulier bedrijf betreft dan is de overheid er direct bij en kan de tent bijna per direct sluiten aan de hoogte van de boete.
...

https://www.cbs.nl/nl-nl/...ndeling-op-1-januari-2017
388 Gemeentes, die de afgelopen decennia zelf verantwoordelijk zijn voor de ICT. Vandaag de dag zijn er strengere richtlijnen, maar ze zijn nog steeds zelf verantwoordelijk.

Je kunt er vragen stellen aan de gemeenteraad, afrekenen doe je tijdens gemeenteverkiezing.

Je reactie begrijp ik dus niet helemaal.

MissingDog @Valandin • 29 januari 2017 09:40

Probleem is dan ook wel dat elke vorm van bestraffing afgewenteld wordt op de burger aangezien de gemeente daar het geld vandaan haalt en het tijdelijk sluiten van een afdeling of iets van dien aard meer kwaad dan goed doet voor de dienstverlening. Het enige wat je kunt doen is voorzien in begeleiding, educatie en hooguit ingrijpen met door de betreffende systemen geforceerd te vervangen/repareren en strikt beleid voeren richting de ambtenaren: als je er willens en wetens een bende van maakt (audits!) lig je er uit. Een foutje is te vergeven, maar als je verzuimt te melden of het 'omdat het zo makkelijk is' de procedures negeert, dan werk je niet meer in het belang van de burger en sta je gewoon op straat.

Verwijderd @Valandin • 29 januari 2017 06:30

Beroepsverbod van de betrokken verantwoordelijke gemeentesecretaris en geen compensatie of overgangsregering. Bij geheel incidenten landelijk, hetzelfde voor de betrokken staatssecretaris en minister. Maximaal een maand voordat het geregeld is.

WaaaghNL 28 januari 2017 12:49

Nu vraag ik mezelf toch even iets af. Beetje off topic maar toch. Als het zo "Gevaarlijk" is dat een BSN nummer op straat ligt. Waarom gebruikt de Belastingdienst dan het BSN nummer als BTW nummer voor je eerste eenmanszaak? daar plakken ze gewoon doodleuk NL voor en B01 achter! En ze verplichten je dan ook nog eens om dat op elke factuur te vermelden

CurlyMo @WaaaghNL • 28 januari 2017 13:34

BSN zegt op zichzelf helemaal niks. Net als een pincode. Het zegt alleen iets in combinatie met andere gegevens zoals een pinpas.

Dus:
- Jouw BSN + Naam = onbelangrijk
- Jouw BSN + Bloeddruk = onbelangrijk
- Jouw BSN + Naam + Bloeddruk = privacy gevoelig.

Een BSN is alleen maar een unieke koppelsleutel om gegevens van jou bij instantie A te kunnen koppelen aan gegevens bij instantie B, dus tussen bijvoorbeeld de gemeente en de belastingdienst.

Net als een pincode is een BSN ook makkelijk te genereren. Pincode is simpelweg alle combinaties van 4 cijfers. Een BSN alle combinaties van 8 (met voorloop 0) of 9 cijfers die voldoet aan de modulus 11 test.

[Reactie gewijzigd door CurlyMo op 24 juli 2024 13:41]

Sergelwd 28 januari 2017 14:16

Ongelofelijk dat er nogsteeds geen celstraffen op staan om datalekken te verzwijgen en nalatig te zijn in onze gegevensbescherming, of dat er uberhaupt nogsteeds geen mogelijkheid is om je gegevens niet af te staan op gemeentelijk niveau.

sambalbaj 28 januari 2017 14:43

Die meldplicht is er nu net een jaar.
Dat er een hoop fout zou gaan bij de implementatie viel geheel te verwachten.
Zeker de eerste maanden hadden een hoop organisaties niets geregeld als ze het al wisten. Daarnaast was er heel veel onduidelijk over wat er precies gemeld moest worden; veel meer dan alleen echte concrete lekken maar ook vermoedens en scenario's. Ook waren er in deze aanloopfase nog geen echte sancties vanuit de AP.

Het is uiteraard een signaal, maar om dit volgend jaar eens te herhalen is veel interessanter. Dan gelden de aanloopproblemen niet meer en is het vooral goed om eens mee te nemen wat er nou eigenlijk met die meldingen gedaan wordt. Blijft het enkel bij melden dan is het ook maar schijnveiligheid en een bureaucratisch vinkje van aan een verplichting voldaan.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (97)

Sorteer op:

Weergave: