Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in vastgoeddienst gaf toegang tot duizenden Nederlandse paspoortkopieën

Een kwetsbaarheid in de dienst 'idd Klantdossier' van EyeMove gaf toegang tot 304.186 documenten waaronder kopieën van paspoorten, werkgeversverklaringen, loonstroken en bankverklaringen. Ook konden 80 databases worden blootgelegd.

Beveiligingsonderzoeker Nelson Berg stuitte op de kwetsbaarheid tijdens een inschrijving bij een makelaar, waarbij hij documenten moest uploaden. Een validatiefout van de uploadfunctionaliteit was te misbruiken om toegang te krijgen tot de documenten van alle gebruikers van idd Klantdossier van EyeMove, waaronder dus ook klanten van andere makelaars.

Door het validatieprobleem kon Berg code uitvoeren via de uploadtool. Zo kwam hij erachter dat alle bestanden gehost werden onder dezelfde IIS-gebruiker en dat de bestanden van alle tachtig makelaars te benaderen waren. Berg claimt geen gevoelige bestanden te hebben binnengehaald, maar via metadata te hebben achterhaald om wat voor gevoelige bestanden het gaat.

Naast de paspoorten, werkgeversverklaringen, loonstroken en bankverklaringen, was er toegang mogelijk tot databases met persoonsgegevens van makelaarklanten, waaronder naw-gegevens, rekeningnummers, 'financiële verplichtingen', en beschikbaar vermogen. Volgens Berg reageerde EyeMove professioneel op zijn melding. Uit de tijdlijn van het onderzoek blijkt dat het bedrijf de kwetsbaarheid op de dag van de notificatie door Berg heeft gedicht en de id's opnieuw heeft gegenereerd, zodat criminelen met mogelijke toegang de documenten niet meer konden benaderen. Of criminelen daadwerkelijk toegang hebben gehad is niet bekend. EyeMove gaf tegen Berg aan dat dit onwaarschijnlijk is. Na onderzoek zal het bedrijf bepalen of een melding bij de Autoriteit Persoonsgegevens vereist is.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 30-06-2017 13:55155

30-06-2017 • 13:55

155 Linkedin Google+

Lees meer

Autoriteit Persoonsgegevens dwingt Arnhem blijvend te stoppen met afvalpas Nieuws van 2 augustus 2017
Gegevens 2385 patiënten AMC-ziekenhuis lagen op straat Nieuws van 28 februari 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
Student achter UvA-HvA-datalek vindt opnieuw lekken in systeem HvA Nieuws van 1 augustus 2016
Student ontdekt lek in studenteninformatiesysteem HvA en UvA Nieuws van 20 juni 2016
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (155)

-Moderatie-faq
-11550154+166+210+32Ongemodereerd69
Wijzig sortering
+3bastro
30 juni 2017 14:20
Dus als je zaken hebt gedaan met de volgende makelaars\ontwikkelaars dan kunnen je gegevens zijn gelekt.
  • van Overbeek Makelaars
  • Neeskens Makelaars
  • Syntrus Achmea
  • Leeghuis.nl
  • Makelaarsland.nl
  • Klok ontwikkeling
  • Klaassen makelaardij
  • BOT Bouwgroep
  • De Raad Makelaars
  • makelaardij De Munt
  • Eigen Haard
  • Era Contour | TBI
  • Castanea bedrijfsmakelaars
  • Verwey vastgoed
  • Woontank
  • Vastgoed Management Nederland
  • Jacobus Recourt
  • Hendriks Makelaardij
  • Dynamis Vastgoedconsultants en Makelaars
  • DTZ Zadelhoff
  • Staedion
  • AM.nl
  • Jones Lang LaSalle
  • MVGM Vastgoedmanagement
  • AMVEST
  • Blauwhoed
  • Hoekstra en van Eck.nl
http://www.cubiceyesbv.nl/onze-crm-klanten/
+1maniak
@bastro30 juni 2017 14:30
De vraag is, zijn de bovengenoemde bedrijven zelf ook niet aansprakelijk voor de datalek? Immers, zij hebben ervoor gekozen om een deel van hun dienst uit te besteden maar ze blijven zelf altijd aansprakelijk voor datalekken, ook die bij afgenomen diensten,
+1The Zep Man

@maniak30 juni 2017 14:42
De vraag is, zijn de bovengenoemde bedrijven zelf ook niet aansprakelijk voor de datalek?
Naar de klant toe: ja. Immers heeft een klant geen afspraak/relatie met achterliggende diensten.

De makelaars kunnen schade mogelijk op hun beurt weer terugvorderen bij EyeMove, maar dat is onafhankelijk van schadeclaims van klanten.

[Reactie gewijzigd door The Zep Man op 1 juli 2017 12:14]

+2maniak
@The Zep Man30 juni 2017 14:45
Ik begrijp dat het sinds kort, of binnenkort, het zo is dat toeleveranciers dezelfde aansprakelijkheid hebben als het eigenlijke bedrijf dat de diensten heeft afgenomen. Althans, dat begreep ik van onze security officer binnen ons bedrijf.
+1Magic
@maniak30 juni 2017 15:48
Indien de aansprakelijkheid niet expliciet is genoemd in een bewerkersovereenkomst met de klant/leverancier, dan klopt dat inderdaad
+1maniak
@Magic30 juni 2017 17:10
Aansprakelijkheid is iets vanuit de wetgever, staat helemaal los van enige overeenkomsten tussen partijen.Volgens mij heet dit ook ketenaansprakelijkheid.
+1Magic
@maniak30 juni 2017 17:30
Ik ben ook geen jurist, maar Ik heb begrepen na een gesprek met de Authoriteit Persoonsgegevens dat aansprakelijkheid inderdaad bij de primaire verwerker van de persoonsgegevens ligt, en dat deze verantwoordelijk is voor het contractueel vastleggen van eventuele aansprakelijkheid van onderaannemers. Daarnaast mag de primaire verwerker uiteraard niet nalatig zijn bij het uitbesteden van verwerking bij onderaannemers. Dus wanneer een verwerker nalatigheid constateerd dan is deze verplicht actie te ondernemen naar zijn onderaannemer.

Wellicht bedoelen we hetzelfde, maar verwoorden we het anders. Daarnaast heb ik diverse mensen bij het AP gesproken, en elk interpreteerde de wet weer net iets anders. Bovenstaand was echter wel zon beetje de consensus.
+1maniak
@Magic30 juni 2017 17:54
Ik ben geen jurist, dus kan goed zijn dat we compleet langs elkaar kletsen ;)
+1ChromeBallz
@maniak30 juni 2017 20:54
Dus in andere woorden, je zou bij iemand een website gaan hosten, zonder zijn medeweten allerhande persoonsgegevens daarnaartoe kunnen uploaden, en als het allemaal lekt is die leverancer automatisch ook schuldig? Lijkt me een nogal kromme manier voor de daadwerkelijke partij die het heeft uitgevoerd om makkelijk alle verantwoordelijkheid af te kunnen schuiven op een derde.
+1kr4t0s
@maniak30 juni 2017 14:49
Dit moet je contractueel regelen. Dat elke leverancier, of dienstverlener verantwoording neemt voor zijn deeltje in de keten. Iedereen in de keten in verantwoordelijk en moet kunnen aantonen welke maatregelen er genomen zijn om lekken te voorkomen. Als je deze maatregelen niet (voldoende) kunt aantonen kun je een boete verwachten.

Als voorbeeld: Als jij als bedrijf een managed firewall dienst koopt, dan is deze dienstverlener verantwoordelijk hier voor. Niks is 100% in ICT-security dus er kan altijd mis gaan. Als het mis gaat moet deze dienstverlener aantonen dat firewall software up-to-date was anti-virus signatures up-to-date zijn en dat de security policies goed waren. Kunnen ze dit niet kan de managed firewall dienstverlener de boete verwachten.

Uiteraard zit je zelf wel met de reputatieschade maar een boete krijg je dan niet.

[Reactie gewijzigd door kr4t0s op 30 juni 2017 19:33]

+1n4m3l355
@bastro30 juni 2017 17:09
Schandalig hoe dit soort grote partijen slecht omgaan met zeker dit soort gegevens. Persoonlijk vind ik dat er gewoon een straf op zwakke beveiliging moet komen zowel voor de private als de public sector. Dit is gewoon nalatigheid door onkunde.
+1kr4t0s
@n4m3l35530 juni 2017 19:35
Hier staan ook boetes op sinds 1-1-2016. En stevige ook
Onder het nieuwe systeem kunnen Europese privacytoezichthouders als de AP boetes van maximaal twintig miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf uitdelen. Nu ligt de maximumboete voor overtredingen van de Wet bescherming persoonsgegevens op 820.000 euro.
0Herr Roedy
@bastro2 juli 2017 17:39
Ik huur bij een van deze partijen en ben nog niet benaderd. Ik vraag me af of dat gaat gebeuren.
0Nelzb
@bastro30 juni 2017 14:26
Je zou ook een reverse DNS lookup kunnen doen op de IP van de server.

Het waren namelijk een stuk meer.

-Nelson
+1lukjah
@Nelzb30 juni 2017 15:15
Fijn dat je dan ook de "stuk meer" deelt.
+3mr94
30 juni 2017 14:47
Vorig jaar juli ook al contact met hun gehad, in dit systeem worden ook alle correspondenties met (potentiële) klanten opgeslagen. Als je in de broncode keek zag je een iframe welke ingeladen werd, berichten werden op basis van een ID opgehaald, als je deze aanpast naar een ander nummer kreeg je mails van anderen te zien.

Berichten over huurprijzen, speciale afspraken, mensen die te weinig verdienen voor een woning, etc, etc..

Dat lek hadden ze toen in 2 dagen tijd verholpen.

Systeem is dus eigenlijk zo lek als een mandje....

[Reactie gewijzigd door mr94 op 1 juli 2017 23:45]

+1R4gnax
@mr9430 juni 2017 21:37
Systeem is dus eigenlijk zo lek als een mandje....
Da's per definitie voor sites die standaard op open HTTP draaien ipv HTTPS af te dwingen.

Ja echt; open HTTP.

:: korte pauze om bovenstaande in te laten zinken ::

Als je de full disclosure van de security-onderzoeker er op naleest kom je nl. er achter dat deze prutsware standaard over HTTP benaderd wil worden en je met de hand het adres naar HTTPS moet aanpassen. Je mag 1 keer raden hoeveel makelaars dat ook daadwerkelijk doen.

EyeMove verdient hier echt een hele, hele, hele dikke boete.

[Reactie gewijzigd door R4gnax op 30 juni 2017 21:39]

+1sumac
@R4gnax1 juli 2017 20:35
mr94 zegt dat berichten via een id in de URL opgehaald worden, en dat je berichten van anderen te zien kreeg door die id aan te passen. Als het zo werkt, dan doet HTTPS echt niks hoor. Je kunt dan nog steeds dat bericht ophalen door die id aan te passen.
0R4gnax
@sumac2 juli 2017 15:55
mr94 zegt dat berichten via een id in de URL opgehaald worden, en dat je berichten van anderen te zien kreeg door die id aan te passen. Als het zo werkt, dan doet HTTPS echt niks hoor. Je kunt dan nog steeds dat bericht ophalen door die id aan te passen.
En wat ik schreef is dat het afschermen van die berichten met een inlog, niet veel uit gaat maken als toch alles over open HTTP verzonden wordt en iedereen dus mee kan lezen. Oftewel: een open HTTP site is per definitie zo lek als een mandje.

Wel even goed lezen, heh?
0sumac
@R4gnax4 juli 2017 10:31
Beide moeten natuurlijk gebeuren. Maar ik - eenvoudige leek met enige IT-kennis - kan door dat ID aan te passen veel eenvoudiger berichten uitlezen dan via jouw hack. In jouw geval moet ik eerst een server tussen client en server weten te hacken die dit verkeer kan monitoren. Wat jij "zo lek als een mandje" noemt, is nog niet zo eenvoudig af te tappen.
+1Nelzb
@mr941 juli 2017 13:32
Ze zeggen in FD dat dit eerste keer is dat ze gehackt zijn.
https://fd.nl/ondernemen/...j-vastgoedsoftwarebedrijf
+2bbob1970

30 juni 2017 14:00
Mag dit bedrijf überhaupt wel kopie van paspoort opslaan ?
Wettelijk zijn er maar een beperkt aantal bedrijven die dit mag, bank, overheden en nog paar anderen.

https://www.rijksoverheid...-te-geven-aan-een-bedrijf

Vraag me dus sterk af of dit bedrijf überhaupt kopie van jou paspoort mocht hebben. Als dat niet mocht lijkt me dat er ook meteen moet worden ingegrepen om dit in de toekomst te voorkomen.
+1Aurora
@bbob197030 juni 2017 14:03
Helaas wel. Onder andere makelaars zijn dat verplicht op basis van Wwft (Voorkomen van witwassen en terrorismefinanciering). Zie hier voor meer informatie.

*edit: "Helaas", omdat de makelaars/bedrijven zelf de kopieën moeten/mogen opslaan. Als dat de overheid zelf is, dan heb ik geen bezwaar onder de genoemde reden.

[Reactie gewijzigd door Aurora op 30 juni 2017 14:18]

+2bbob1970

@Aurora30 juni 2017 14:23
Klopt deels want ik lees:
Met het cliëntenonderzoek komt u te weten met wie u zaken doet. U moet dit onderzoek doen voordat u een verkooptransactie of bemiddelingsopdracht uitvoert of voordat u een zakelijke overeenkomst met uw cliënt sluit en diensten levert. U moet de identiteitsgegevens van uw cliënt vragen en deze gegevens ook controleren, vastleggen en de komende 5 jaar bewaren.
Er staat gegevens controleren en vastleggen.
Vastleggen kun je op verschillende manieren interpreteren. Dat kan zijn gegevens opschrijven met bijv paspoort nummer. Er staat niet letterlijk dat je een kopie moet of mag nemen.

er staat bij bij wie kopie mag maken ook dit:
Veilige kopie met afscherming identiteitsgegevens

Een telecombedrijf mag uw legitimatiebewijs kopiëren of scannen, maar moet de pasfoto en het Burgerservicenummer (BSN) afschermen. Wat verschillende bedrijven met uw identiteitsbewijs mogen, staat op de website van de Autoriteit Persoonsgegevens.
https://autoriteitpersoon...ficatie/identiteitsbewijs
Gegevens overnemen

De organisatie kan na het tonen eventueel noteren om welk identiteitsbewijs het ging en het nummer hiervan. In enkele gevallen zijn organisaties wettelijk verplicht om bepaalde persoonsgegevens van iemands identiteitsbewijs over te nemen.

Kopie of scan identiteitsbewijs

Een organisatie mag alleen in uitzonderlijke gevallen een kopie of scan maken van iemands identiteitsbewijs. Dit geldt onder meer als het in de wet staat.
Het moet dus in de wet staan dat een organisatie een kopie of scan mag maken.

In dit geval staat er dat men de gegevens moet vastleggen. Vastleggen kun je ook zien als gegevens noteren, naam en paspoortnummer er staat niet letterlijk kopie maken.

Daarnaast als er al zou staan dat bij een makelaarskantoor een kopie moet maken dan is de volgende vraag hoe en wie mag deze bewaren. Mag de makelaar de scan wel uit handen geven bij een 3de partij. Dat laatste zoals hier nu gebeurt vraag ik me dus sterk af of dat wel zo mogen.
0BeosBeing
@bbob19706 juli 2017 11:03
In dit geval staat er dat men de gegevens moet vastleggen. Vastleggen kun je ook zien als gegevens noteren, naam en paspoortnummer er staat niet letterlijk kopie maken.
En één keer raden wat het makkelijkst is, kopiëren of overschrijven/typen. Vaak wordt trouwens beide gedaan, de klantgegevens zoals naam, geboortedatum, geboorteplaats gaan in een database, nummer paspoort (of rijbewijs) er bij en ook die kopie wordt opgeslagen. BSN vaak ook trouwens, als dat nodig is voor rapporteren naar de overheid (bank, werkgever) maar dat veld mag men dan weer niet gebruiken als zoekveld/index.
0Boost9898
@Aurora30 juni 2017 14:05
Dat zie ik niet als een 'helaas' Als zij deze data mogen opslaan in verband met de genoemde redenen is dit meer dan begrijpelijk. De manier waarop de data is opgeslagen slaat dan weer nergens op.
+2CAPSLOCK2000

@Boost989830 juni 2017 14:20
Wat maar niet door wil dringen is dat data veilig opslaan moeilijk is, heel moeilijk. Als je verplicht dat data moet worden opgeslagen, dan weet je ook zeker dat dit in een aantal gevallen niet veilig zal gebeuren. Het is een kwestie van tijd voor er ergens een lek ontstaat.
Dat hoort er bij, daar hoor je rekening mee te houden. Het is per geval niet waarschijnlijk, maar je moet er wel rekening mee houden dat het gebeurt. Net zoals we bij het bouwen van huizen er rekening mee houden dat er soms brand ontstaat. Risico's helemaal uitsluiten kan niet en dat hoeft ook niet. Soms is blussen beter dan voorkomen.
Hetzelfde geldt voor datalekken. Een zeker risico moeten we maar accepteren. De wereld vergaat echt niet van één datalek. Maar van de andere kant moeten we leren dat ieder stuk informatie dat wordt opgeslagen een zeker risico met zich meebrengt. Dat moet je meenemen bij je afweging welke informatie er bewaard wordt en door wie.
Zoveel zeer gevoelige data van divers pluimage van tientallen verschillende makelaars die allemaal op hetzelfde systeem staan voelt niet goed. Dat voelt als vragen om problemen. Mogelijk hebben de makelaars geen keuze en zijn ze wettelijk verplicht dit alles bij te houden, maar dan lijkt me dat de wet te veel van ze vraagt.
+2zeurkous
@CAPSLOCK200030 juni 2017 17:37
Wat maar niet door wil dringen is dat data veilig opslaan moeilijk is, heel moeilijk. Als je verplicht dat data moet worden opgeslagen, dan weet je ook zeker dat dit in een aantal gevallen niet veilig zal gebeuren. Het is een kwestie van tijd voor er ergens een lek ontstaat.
Is het dan flauw om te stellen dat zulke verplichtingen de root cause zijn van de ellende, en dat je als wetgever laks of zelfs nalatig bent als je niet de afweging maakt dat elke zulke verplichting tot lekken en dus schade voor burgers zal opleveren?

Dat je dat dus moet afwegen tegen het vaak theoretische gewin van "terrorismebestrijding" of "witwassen tegengaan", wier effectiviteit in ieder geval voor deze burger niet te bespeuren valt.
Dat hoort er bij, daar hoor je rekening mee te houden. Het is per geval niet waarschijnlijk, maar je moet er wel rekening mee houden dat het gebeurt.
Ik denk dat je ervanuit moet gaan dat hoe digitaler, hoe groter de kans is per gegeven dat er gelekt gaat worden en dat je dus met zekerheid kan stellen dat er voor iemand wel iets gelekt gaat worden, het is gezien de voortschrijdende "digitale transformatie" slechts een kwestie van tijd. Sterker, dit is geen koffiedik kijken: Er is al veel gelekt, en het wordt niet minder.

Ik kwam laatst zelfs weer mensen tegen die dachten, "ach, identiteitsfraude, wie moet mij nou hebben?" Nou, dat hoeft dus niet gericht. Net als dat een inbreker niet precies jouw woning wil leeghalen, gewoon een waar flink wat te halen valt en er weinig risico bestaat gesnapt te worden, ongeacht wiens woning dat is. En de schade die hij veroorzaakt, aan je woning of aan je persoon, zal zo iemand helemaal worst wezen.
Net zoals we bij het bouwen van huizen er rekening mee houden dat er soms brand ontstaat. Risico's helemaal uitsluiten kan niet en dat hoeft ook niet. Soms is blussen beter dan voorkomen.
Huizen kun je herbouwen. Hoewel de schade regelmatig ook wel vrij onomkeerbaar blijkt. (*kuch* bijzondere collecties bouwkunde Delft *kuch*)

Misbruikte identiteiten wisselen is veel lastiger. Je moet er ongeveer een terugkerende jihadist in Zweden voor zijn om er een te krijgen. Voor de rest moet je maar leren om vriendelijk te blijven tegen al die deurwaarders die op telefoonabonnementen komen innen die je niet zelf hebt afgesloten. Jarenlang. En met verstrekkende gevolgen, via het BKR bijvoorbeeld.
Hetzelfde geldt voor datalekken. Een zeker risico moeten we maar accepteren.
Je kan wel kiezen wat je dan lekt. Onversleuteld kopietje paspoort is een stuk schadelijker dan een versleuteld attest -- een soortement van bewijs van goedkeuring, alleen nuttig voor dit ene doeleinde. De opgeslagen data kan veel minder schadelijk.

En er kan ook best minder aan bewijs gevraagd worden, zeker gezien de huidige papierberg maar nauwlijks doet wat ze geacht wordt te doen. Dan kun je net zo goed toegeven dat je leuke ideetjes van bestrijding door dataophopen gewoon niet werken en ophouden met ophopen. Je kan zelfs zeggen dat de schijn van veiligheid wensen op te houden op zichzelf schadelijk kan worden.
De wereld vergaat echt niet van één datalek.
Er worden elke dag wel mensen verkouden, en zelfs van een influenzaepidemie vergaat de wereld niet. Toch doen mensen hun best om niet verkouden te worden. We doen zelfs ons best epidemieën in te dammen.
Maar van de andere kant moeten we leren dat ieder stuk informatie dat wordt opgeslagen een zeker risico met zich meebrengt. Dat moet je meenemen bij je afweging welke informatie er bewaard wordt en door wie.
En waarom, met welk doel. Werkt dit wel? Kan het niet anders? Allemaal vragen waar veel vaker veel betere antwoorden op nodig zijn.
Zoveel zeer gevoelige data van divers pluimage van tientallen verschillende makelaars die allemaal op hetzelfde systeem staan voelt niet goed. Dat voelt als vragen om problemen. Mogelijk hebben de makelaars geen keuze en zijn ze wettelijk verplicht dit alles bij te houden, maar dan lijkt me dat de wet te veel van ze vraagt.
Dan wordt het tijd de wetsknutselaars aan hun haren te trekken. Wellicht ook dat we ons realiseren dat ze wel lekker hun ding doen maar niet weten wat ze eisen, en dat er dus veel duidelijker gemaakt moet worden dat er kosten en risicos, vaak verbazend hoge kosten en ondenkbeeldige risicos, kleven aan het ophopen van data.
+1WillySis
@CAPSLOCK200030 juni 2017 15:39
Het veilig opslaan van gegevens is lastig dat is zeker. Er blijft altijd een risico bestaan dat er een lek gevonden wordt. Daar kan je zelf niet eens altijd iets aan doen. Een lek in een update van een OS of een foutje in een datacenter kan je niet voorkomen.
Helaas nemen nog steeds veel bedrijven grote risico's door de beveiliging maar heel globaal te regelen. Ook slaan veel bedrijven veel meer privacy gevoelige gegevens op dan ze eigenlijk nodig hebben. Voor een bedrijf misschien handig, maar als onze gegevens op zoveel verschillende plekken opgeslagen worden, kunnen we dan nog spreken van privacy? De kans dat mijn gegevens binnen twee jaar ergens kunnen lekken is nu bijna 100%.

Eigenlijk zou elk bedrijf gewoon een goede, gecertificeerde, documentatie van de opgeslagen persoonsgebonden gegevens en de beveiliging van die bestanden moeten hebben.
0BeosBeing
@CAPSLOCK20006 juli 2017 11:09
Dat hoort er bij, daar hoor je rekening mee te houden. Het is per geval niet waarschijnlijk, maar je moet er wel rekening mee houden dat het gebeurt. Net zoals we bij het bouwen van huizen er rekening mee houden dat er soms brand ontstaat.
Klopt.
Risico's helemaal uitsluiten kan niet en dat hoeft ook niet.
Als het niet kan dan hoeft het niet maar wat wel kan en redelijk is, moet je wel doen.
Een VOG is niet voor iedere werknemer nodig maar soms wel.
Soms is blussen beter dan voorkomen.
Dat is absoluut onwaar. Ja je moet kunnen blussen als het fout gaat. Daar zul je procedures voor moeten hebben. In het geval van een fysieke brand is dier er: Ontruimen, bellen naar brandweer en die volgt (en beheert) de rest van de procedures. Maar voorkomen is altijd beter dan blussen.
0CAPSLOCK2000

@BeosBeing6 juli 2017 11:55
Dat is absoluut onwaar. Ja je moet kunnen blussen als het fout gaat. Daar zul je procedures voor moeten hebben. In het geval van een fysieke brand is dier er: Ontruimen, bellen naar brandweer en die volgt (en beheert) de rest van de procedures. Maar voorkomen is altijd beter dan blussen.
Nee, soms is voorkomen te duur of te onhandig. Aan alles zit een grens. Hoeveel honderden miljarden willen we uitgeven om te zorgen dat er in NL nooit meer een huis afbrandt? Al geven we al ons geld daar aan uit, dan nog zal het niet lukken. Op een zeker moment moeten we het risico maar accepteren. Dat betekent dat er soms een huis afbrandt wat gered had kunnen worden als we 10 miljoen extra hadden uitgegeven aan brandpreventie.
Als het niet kan dan hoeft het niet maar wat wel kan en redelijk is, moet je wel doen.
Dat is wat ik bedoel, brand 100% voorkomen is in alle redelijkheid niet haalbaar. Dat betekent dus dat er soms iets zal afbranden en dat we dat maar accepteren. Één huis blussen is beter dan miljarden uitgeven aan de meest geavanceerde rookmelders en vlamvertragers.
0BeosBeing
@CAPSLOCK20006 juli 2017 12:06
Nee, soms is voorkomen te duur of te onhandig. Aan alles zit een grens.
Dat klopt, ,aar wat je redelijkerwijs kunt doen, dat moet je doen. Dat maakt blussen echter niet beter dan voorkomen, wel goedkoper.
Hoeveel honderden miljarden willen we uitgeven om te zorgen dat er in NL nooit meer een huis afbrandt? Al geven we al ons geld daar aan uit, dan nog zal het niet lukken.
Klopt
Op een zeker moment moeten we het risico maar accepteren. Dat betekent dat er soms een huis afbrandt wat gered had kunnen worden
Klopt
als we 10 miljoen extra hadden uitgegeven aan brandpreventie.
Die 10 miljoen zou zeker ook andere huizen of gebouwen ten goede zijn gekomen.
Kijk naar het voorbeeld van die woontoren in Londen. Nu blijkt dat daar brandbare gevelbekleding is gebruikt moeten diverse andere woontorens ook ontruimd worden (berichtgeving is onduidelijk, er zijn er 600 onderzocht waarvan er een kleiner aantal gevaar lopen, of er zijn er duizenden onderzocht waarvan er 600 gevaar lopen en een kleiner aantal accuut. Dat kleinere aantal (ik weet het precieze getal niet) is in ieder geval onmiddellijk ontruimd). Het aanpassen van die panden is ool brandpreventie en kost ook heel veel.
Daarnaast bestaat de kans dat andere kleinschalige branden ook verband houden met dit materiaal maar dat dit nooit is onderzocht.
Dat is wat ik bedoel, brand 100% voorkomen is in alle redelijkheid niet haalbaar. Dat betekent dus dat er soms iets zal afbranden en dat we dat maar accepteren.
Klopt
Één huis blussen is beter dan miljarden uitgeven aan de meest geavanceerde rookmelders en vlamvertragers.
Beter? Nee alleen is het andere volstrekt onhaalbaar.

[Reactie gewijzigd door BeosBeing op 6 juli 2017 12:08]

+1Aurora
@Boost989830 juni 2017 14:18
"Helaas", omdat de makelaars/bedrijven zelf de kopieën moeten/mogen opslaan. Als dat de overheid zelf is, dan heb ik geen bezwaar onder de genoemde reden.
+1kozue
@Aurora30 juni 2017 17:59
En waarom zou de overheid een kopie van jouw paspoort op moeten slaan? Die hebben ze toch zelf uitgegeven en hebben al deze gegevens toch al? Juist de overheid heeft er niets aan en moet het dus niet doen.
+1Aurora
@kozue30 juni 2017 18:20
Zie jij de overheid als 1 orgaan dan? Heeft iedere aftakking van de overheid toegang tot de afdrukken van jouw paspoort? Mag ik hopen van niet, toch?
0kozue
@Aurora1 juli 2017 10:25
Dat is niet nodig. De overheid heeft al een andere overheids-brede identificatie: het BSN nummer. Ik heb nergens beweerd dat ze een kopie van je paspoort op zouden moeten slaan. Dat paspoort is namelijk gedrukt met gegevens die ze zelf al ergens in een database hebben staan, en is dus eigenlijk een representatie van die gegevens voor andere partijen als vorm van identificatie, om aan te tonen dat jij ergens geregistreerd staat bij een overheid als officiële inwoner.
0Aurora
@kozue1 juli 2017 11:50
En waarom zou de overheid een kopie van jouw paspoort op moeten slaan? Die hebben ze toch zelf uitgegeven en hebben al deze gegevens toch al?
Vervolgens..
Dat paspoort is namelijk gedrukt met gegevens die ze zelf al ergens in een database hebben staan, en is dus eigenlijk een representatie van die gegevens.
En hoe moeten ze die representatie cross-checken? Juist, een kopie. Met enkel een BSN identificeer je jezelf, met een kopie authenticeer je jezelf.
0Morgan4321
@Boost989830 juni 2017 15:28
In de praktijk is het vooral een middel om katvangers van wietpanden op te sporen.
0himlims_
@bbob197030 juni 2017 14:03
Nee - Al's consument dien je zelf verantwoordelijk om te gaan met dit soort data. BSN en passfoto mag doorgestreept worden, en voorzien van text kopie. Neemt niet weg dat het schandalig is
+1stresstak
@himlims_30 juni 2017 14:10
Nee - Al's consument dien je zelf verantwoordelijk om te gaan met dit soort data. BSN en passfoto mag doorgestreept worden, en voorzien van text kopie. Neemt niet weg dat het schandalig is
Dat wordt nog lastig doorstrepen voor de gemiddelde burger, als men het paspoort scant en als digitaal bestand bewaart. ''Mag ik die scan even photoshoppen.. ?''

Ja, je kan eerst een papieren fotokopie bewerken en die scannen. Maar weinigen doen dat.
0DonChaot
@stresstak30 juni 2017 14:19
Je kan je eigen kopieën meenemen of je eigen scans opsturen.
+1stresstak
@DonChaot30 juni 2017 14:22
Tuurlijk. Maar wie doet dat ? En is dapper genoeg omdat aan de baliekluiver te gaan verdedigen.?
Ze zijn er vast, maar hoeveel ?

edit
Laat de overheid maar duidelijk maken dat de fotokopie met schrapsels een wettige manier is.

[Reactie gewijzigd door stresstak op 30 juni 2017 14:24]

+2Triblade_8472
@stresstak30 juni 2017 14:39
Ik doe dat.
En het levert (mij) nooit problemen op, tegen mijn verwachting in trouwens.

Ik moet daarbij wel vermelden dat ik zelf altijd een gecensureerde kopie inlever, zowel op papier als digitaal. De paar keer dat men een kopie heeft gemaakt voor mij, ben ik er fysiek altijd bij aanwezig geweest en heb om een marker gevraagd om de belangrijke gegevens weg te strepen en een pen om erop te schrijven dat het een kopie is, voor wie en wanneer.

En de overheid probeert het ook echt wel, maar wellicht niet duidelijk genoeg?
Campagnes:
Rijksoverheid: Laat u niet zomaar kopiëren.
Tros, Radar: Overheid lanceert app tegen identiteitsfraude: KopieID
Authoriteit Persoonsgegevens: Identiteitsbewijs

Edit: URL verduidelijking

[Reactie gewijzigd door Triblade_8472 op 30 juni 2017 14:40]

+1stresstak
@Triblade_847230 juni 2017 14:59
Dank Maar bij mijn weten zijn die waarschuwingen en adviezen niet echt duidelijke en regelmatig op televisie of in een krant.
Mooi, op internet, maar als je geen gevaar verwacht ga je niet zoeken.

Tros, Radar, ik zie het nooit. en het zou een tref zijn als ik nou net toevallig die aflevering bewonder.

Het gaat natuurlijk niet alleen om jou en mij, maar ook om de buurman, het winkelmeisje en mn schoonmoeder.
+1Triblade_8472
@stresstak30 juni 2017 15:16
Dank Maar bij mijn weten zijn die waarschuwingen en adviezen niet echt duidelijke en regelmatig op televisie of in een krant.
Het was (blijkbaar) ook de bedoeling dat jou gemeente hier een campagne over opzet.

De rijksoverheid heeft een hele toolkit voor hen ontwikkeld om te gebruiken! Met posters, flyers, animatie films, factsheets, tekst, voorbeeld tweets enz.! Dit vindt ik behoorlijk goed eigenlijk. Jammer dat de gemeentes dit laten liggen!

Link naar de toolkit:
https://www.rijksoverheid...toolkit-identiteitsfraude

Nu je dit weet, spreek je gemeente hier op aan! Samenleven doen we samen. ;)
+1stresstak
@Triblade_847230 juni 2017 15:20
Nu je dit weet, spreek je gemeente hier op aan! Samenleven doen we samen. ;)
Doene me.. Ik kan er niet meer onder uit. :)
+1Jilburr
@stresstak30 juni 2017 14:23
Er is al een tijde een hele makkelijke app van de overheid in de store; KopieID. Hier kan je met je telefoon ID (paspoort, id, etc.) zaken 'scannen' en daarna heel makkelijk de gevoelige informatie doorstrepen.
+1stresstak
@Jilburr30 juni 2017 14:26
Gekruiste berichten

Ah, een app. Maar goed, ik heb geen app-araat, geen telefoon of scanner en als ik op het Gemeentehuis in het andere dorp sta, moet ik wat.
0Jilburr
@stresstak30 juni 2017 14:28
Daar heb je gelijk in, security wordt in dat opzichte nog steeds niet serieus genoeg genomen. Ook omdat de meeste mensen die daar achter een balie werken geen idee hebben van de mogelijke gevaren.
0stresstak
@Jilburr30 juni 2017 14:35
Ook omdat de meeste mensen die daar achter een balie werken geen idee hebben van de mogelijke gevaren.
Dat is vervelend voor beide partijen. De mevrouw die daar de gemeente vertegenwoordigt IS voor mij de gemeente. Daar begin ik dan ook altijd mee. De regels uitvoeren is met de regels instemmen.
De volgende keer kom ik nog beter beslagen ten ijs.
+1Triblade_8472
@stresstak30 juni 2017 14:35
https://www.respectprivacy.org/en/

Kan je een hoesje kopen die alle gegevens die men niet mag/hoeft te hebben vanzelf al weglaat. Zelfs bij kopieën.

Je kan het ook bij de ANWB kopen. <ID-cover link>
0stresstak
@Triblade_847230 juni 2017 14:36
Mijn dank is groot(s).
0Huxley
@stresstak30 juni 2017 14:38
https://www.rijksoverheid...e-kopie-identiteitsbewijs nou nou wat lastig zeg, dat doorstrepen.

Vanuit de Rijksoverheid is er een app de wereld in geholpen. Your arguments are invalid.
+1stresstak
@Huxley30 juni 2017 14:53
nou nou wat lastig zeg, dat doorstrepen.

Your arguments are invalid.
Your arguments are ook niet helemaal jofel. Als het paspoort wordt gescand staat het op de ander zijn systeem. DAN kan ik niet meer strepen.

app ? Wat nou app ? Ik heb geen app-apparaat.
0Huxley
@stresstak30 juni 2017 16:35
"Als het paspoort wordt gescand staat het op de ander zijn systeem. DAN kan ik niet meer strepen."

Neen, want met de KopieID app wordt de scan pas uitgegeven op het moment dat jij zegt "Ja, ik heb alles weggestreept."

Karmakoning van Windows 10 en dan geen smartphone hebben, ik geloof d'r niks van.
0stresstak
@Huxley30 juni 2017 16:59
Karmakoning van Windows 10 en dan geen smartphone hebben, ik geloof d'r niks van.
Ik heb geen smartphone en geen mobiel en geen Windows 10.

Hou maar op, ik heb geen app. Trouwens ook geen paspoort, maar een overjarig id-kaartje.
0Morgan4321
@stresstak30 juni 2017 15:25
Het lijkt me makkelijker er met paint of zo even een tekst in rood "copie voor <bedrijf X> <datum>" op te zetten.
0stresstak
@Morgan432130 juni 2017 15:28
Het lijkt me makkelijker er met paint of zo even een tekst in rood "copie voor <bedrijf X> <datum>" op te zetten.
Als ik het zelf doe is het niet moeilijk, maar overtuig Truus achter de balie van het gemeentehuis maar dat je dat even wil doen.
Het punt is dat men te makkelijk even een paspoort eist en er een kopie van maakt.
0Morgan4321
@stresstak30 juni 2017 15:34
Dan ga ik met het origineel en een eigen print naar de plaats waar ze die copiemwillen hebben en lever de copie in. Men kan dan checken dat de gegevens van de copie overeenstemmen met die van het origineel.
0stresstak
@Morgan432130 juni 2017 15:39
Het blijft een strijd die niet voor iedere onwetende weggelegd is. Helaas.
0R4gnax
@Morgan432130 juni 2017 21:06
Dan ga ik met het origineel en een eigen print naar de plaats waar ze die copiemwillen hebben en lever de copie in. Men kan dan checken dat de gegevens van de copie overeenstemmen met die van het origineel.
Ik heb het geprobeerd met een notaris bij aanschaf van mijn woning en ik kan je vertellen; die houden gewoon voet bij stuk. Ze maken zelf een scan die in hun systeem gaat en als je dat niet accepteert: nou jammer; geen huis dan, heh?
0Morgan4321
@R4gnax30 juni 2017 21:08
Mwoah, een notaris zou ik er wel mee vertrouwen.
+1bbob1970

@himlims_30 juni 2017 14:25
Je bent deels zelf verantwoordelijk alleen zijn er nog steeds bedrijven die denken een kopie te mogen maken terwijl dat wettelijk helemaal niet mag. Zie mijn post hierboven bijv afschermen bsn passfoto mag ook maar door beperkt aantal bedrijven gedaan worden.
0Jb!
@bbob197030 juni 2017 14:30
Die bedrijven, zeker in het buitenland, weigeren je dan gewoon als klant. Leuk die principes, maar daar kom je niet heel ver mee als je je hotelkamer niet in mag of je je huurauto niet mee mag nemen. :+
0bbob1970

@Jb!30 juni 2017 14:34
Dat kan idd gebeuren, maar is maar net hoe jij je opstelt. Kopie rijbewijs is meer dan voldoende en kopie paspoort krijgen ze niet meer. Betaal met creditcard en dat is voldoende.
Beetje herrie maken dreigen werkt ook goed. Vraag je hun even te ondertekenen dat in geval van fraude met jou paspoort zij aansprakelijk zijn.

Daarnaast autohuur boek je tegenwoordig vaak online, voucher en rijbewijs zijn voldoende.
Hotel, creditcard ook voldoende.

Maar ja als je niet assertief genoeg bent zoals vele laat je je idd overdonderen.
0stresstak
@bbob197030 juni 2017 15:32
Vraag je hun even te ondertekenen dat in geval van fraude met jou paspoort zij aansprakelijk zijn.
Dat doen ze natuurlijk niet.
En in het gemeentehuis hangt een bordje met een waarschuwing dat herrie schoppen verboden is. Nou weerhoudt me dat niet in een slecht geval, want ik ben nogal driftig bij onrecht. Maar toch..
0incaz
@bbob197030 juni 2017 20:58
Maar niet iedereen is zo assertief (en niet iedereen heeft een credit card.)

Dat is ook het probleem met alles bij het individu leggen. Dat werkt redelijk voor assertieve, hoogopgeleide mensen, maar niet iedereen kan het. Dat is juist iets waarom dat soort dingen ook vanuit de andere kant beschermd moeten worden.

(Want stel dat de consequentie is, en dat kan bij een makelaar natuurlijk vrij goed, dat je het huis niet kan kopen of huren? Dat ook de makelaar zegt 'oh, prima, dan nemen we iemand anders, geen probleem' - het is leuk om principieel te zijn maar als dat betekent dat je geen woning hebt, wordt de prijs toch hoog.
Je schreef dat jouw ervaring is dat het goed geaccepteerd wordt - zelf heb ik met het id niet echt iets meegemaakt, tenminste niet recent, maar op andere vlakken heb ik toch helaas al een aantal keer toegegeven - protest betekende geen dienst en dat had voor mij financiele consequenties... en een van de keren had ik nogal hoofdpijn.Tsja, wat doe je dan? Mij lukte het niet.)
0bbob1970

@incaz1 juli 2017 11:47
Klopt wat je zegt in de praktijk en om die reden zouden en dan bijv aangiftes gedaan moeten worden tegen zoiets. In hert geval van makelaars een taak voor de nvm om hun leden goed te informeren.

Maar goed zelfs al geef je je id toch, je kan ook daarna een klacht indienen bij de politie, het is namelijk ook een vorm van afpersing wat sommigen doen.
0PhilipsFan
@Jb!30 juni 2017 14:57
En voor die situaties moet je dus eigenlijk een vals identiteitsbewijs bij je hebben. Jammer dat die zo lastig zijn om te maken.
0bbob1970

@PhilipsFan30 juni 2017 16:14
Zou zeggen zoek eens online wat voor leuke dingen je allemaal tegenkomt
0marcel87
@himlims_30 juni 2017 16:35
Hoewel je gelijk hebt, heel veel bedrijven gaan daar niet in mee. Dus hoe krijg je wat voor elkaar als men je doorgestreepte gegevens niet accepteert? Je hebt er ook bij die geen kopie accepteren maar alleen zelf een kopie willen maken zodra jij fysiek de pas aan ze geeft. Kiezen uit 2 kwaden dan maar?

Ik vind daarom ook dat de overheid 1 lijn moet trekken. Ja er zijn (overheids)instanties die wel een kopie mogen bewaren, maar waarom mag je daarop niks doorstrepen of een tekst zetten. Wat voor andere bedrijven geldt, geldt toch even goed voor je werkgever of lagere overheid e.d. ? Het is prima dat ze daarnaast nog vragen om het fysieke bewijs te vergelijken met wat je opstuurt, maar in de systemen zou overal alles hetzelfde moeten zijn... dat maakt het een stuk duidelijker, makkelijker, veiliger plus overal geaccepteerd. Want zeg nou zelf, hoeveel bedrijven controleren nog regelmatig je gescande ID gegevens na bijv. 1 maand of 5 jaar? Waarschijnlijk geen één, alleen maar onnodige risico's van data.

offtopic:
Wow, er is een hele reactiethread ontstaan, een beetje over hetzelfde... die was er nog niet toen ik klikte op reageer...

[Reactie gewijzigd door marcel87 op 30 juni 2017 16:36]

0SuperDre
@bbob197030 juni 2017 19:38
nou, zo beperkt is het aantal bedrijven niet, immers is elke werkgever het ook verplicht.
0bbob1970

@SuperDre30 juni 2017 20:40
Werkgever mag het ook volgens de wet. De vraag is alleen mag een werkgever een digitale kopie van jou opslaan bij een 3de. Volgens mij staat door niets over in de wet en mag het niet.
+2Harrie_
30 juni 2017 18:23
Onlangs zaken gedaan met Makelaarsland, dus direct maar even contact opgenomen.

Makelaarsland heeft mij inmiddels laten weten dat, hoewel hun naam wordt genoemd op de site van CubicEyes, de samenwerking na 2009 is gestopt. Mensen die dus na 2009 een woning gekocht of verkocht hebben via Makelaarsland ondervinden hier dus geen gevolgen van.
0MTVGN
@Harrie_3 juli 2017 10:32
Ik zit sinds 2008 bij makelaarsland, ben benieuwd wanneer ze een mailtje gaan sturen ...
+1RobbieB
30 juni 2017 14:00
Tijd voor de autoriteit persoonsgegevens om eens daadkrachtig op te treden en een voorbeeld te stellen... Ze zullen er wel weer met een tik op de vingers vanaf komen, maar dit is echt onverantwoord...
+1Kees
@RobbieB30 juni 2017 14:20
Bugs duiken altijd op. Het zou een stuk kwadelijker zijn als men hier geen reactie op had gegeven. Dan zou ik een boete op zijn plaats vinden.

In dit geval is er snel opgetreden en is het lek gefixt en denkt men na over een melding. Een boete lijkt mij niet op z'n plaats dus.
+2MadEgg

@Kees30 juni 2017 14:31
Er is snel opgetreden, dat is heel goed.

Maar er duiken inderdaad altijd bugs op. Daarom is het zeer onwenselijk dat er zo veel gegevens bij elkaar op een hoop gegooid worden. Dossiers van klanten van verschillende makelaars. Die zouden niet eens bij elkaar moeten liggen. Die vergaande centralisatie van alles brengt dit soort risico's met zich mee, en zou daarom aan banden gelegd moeten worden.
+1maniak
@MadEgg30 juni 2017 14:47
Stomme is, waarom zou elk bedrijf zelf een kopie moeten hebben? Je zou ook een soort machtiging kunnen afgeven waardoor het bedrijf bepaalde informatie kan opvragen bij de overheid.
+1FuaZe
@maniak30 juni 2017 15:53
Dan heeft de overheid alle informatie?

Liever dat ze mij persoonlijk de gegevens vragen en na het kopen van het huis deze vernietigen.
+1armageddon_2k1
@FuaZe30 juni 2017 16:17
Newsflash: de overheid geeft jouw paspoort uit dus mijn vermoeden is dat ze ook wel een digitale versie hebben ;)
+1niki_lauda
@armageddon_2k130 juni 2017 16:44
1)Nee de overheid heeft in de BRP/Aanvraagstations wel de gegevens van de (Nederlandse) reisdocumenten van burgers.

2)Ik zou als ik getroffen was graag op kosten van dit bedrijf een nieuw reisdocument aanvragen omdat er met die kopieen ID fraude kan plaatsvinden.

3)Verder begrijp ik niet dat nog veel instanties/bedrijven met een kopie document werken het zegt helemaal niets over wie het document heeft afgegeven alleen dat er een document is getoond. Of de houder/eigenaar het is geweest is niet te zeggen. Alleen ligt vast dat de medewerker het proces heeft gevolgd.

[Reactie gewijzigd door niki_lauda op 30 juni 2017 16:49]

+1SuperDre
@FuaZe30 juni 2017 19:36
Maar na het kopen van het huis mogen ze niet eens de informative verwijderen, want dit is gewoon onderdeel van hun financiele administratie.
+1zeurkous
@maniak30 juni 2017 16:54
Stomme is, waarom zou elk bedrijf zelf een kopie moeten hebben?
Dat hoeft dus niet, ze hebben het uitbesteed dus een derde partij heeft dat kopie.

Oh wacht, dat is waarom er gegevens van klanten van 27 makelaars tegelijk lekten.

Zo denk je slim te zijn en zo gaat dat vooral spectaculairder en groter fout.
Je zou ook een soort machtiging kunnen afgeven waardoor het bedrijf bepaalde informatie kan opvragen bij de overheid.
Dat zou kunnen. Je zou ook je kunnen afvragen waarom ze die gegevens sowieso nodig hebben en hoe we de regels zo kunnen inrichten dat er minder gegevens nodig zijn.

Want waarom worden die gegevens nou echt gevraagd, en is dat wel effectief? Gezien de altijd maar groeiende eisenberg om meer meer meer gegevens, gok ik zo van niet. Dus hou daar eerst maar mee op.

En daarna kun je nog allerlei intelligente oplossingen verzinnen voor de weinige resterende gegevens, iets met zero knowledge proofs bijvoorbeeld.
+1Basszje
@MadEgg30 juni 2017 14:46
Je zou verwachten dat dergelijke gegevens minstens onder een ander gebruikersaccount zouden vallen per makelaar of iets dergelijks. Dan houd je de mogelijke schade al een beetje binnen de perken.
0zeurkous
@Basszje30 juni 2017 17:05
Nee natuurlijk niet. Dit is een "web app" dat even door een webaap inelkaar geflanst is. En waar dus niet verder over nagedacht is dan "doet'ie het? nou, in productie dan maar." Als dat je insteek is, dan kijk je ook niet verder natuurlijk. Dit is dus geheel volgens industriestandaard beste praktijkgebruikelijke verwachtingen.

Ik zou zeggen, het minste wat je kan doen is al die gegevens versleutelen met een publieke sleutel waarvan de geheime sleutel niet op die machine staat. Bijvoorbeeld een sleutel per makelaar. Dan kan zelfs de hele machine gejat worden en niemand heeft er wat aan. Maarja, dan kan je dus niet mooi in een webformulier laten zien wat er allemaal al eerder op neergezet is.

Let wel: Om zoiets te bedenken moet je iets van informatiebeveiliging weten, bijvoorbeeld dat publieke sleutelcryptografie bestaat. Voor veel mensen, inclusief "webprogrammeurs", is crypto niet meer dan het magische ingrediënt achter je groen/gouden adresveld in je browser. Dus dat je daar ook voor andere doeleinden gebruik van kan maken, laat staan hoe dan, dat is allemaal volstrekt onbekend. Met gevolgen zoals zichtbaar in dit nieuwsbericht.
+1R4gnax
@zeurkous30 juni 2017 20:49
Nee natuurlijk niet. Dit is een "web app" dat even door een webaap inelkaar geflanst is. En waar dus niet verder over nagedacht is dan "doet'ie het? nou, in productie dan maar." Als dat je insteek is, dan kijk je ook niet verder natuurlijk. Dit is dus geheel volgens industriestandaard beste praktijkgebruikelijke verwachtingen.
De enige die hier een aap is, is diegene die hier overmatig gegeneraliseerde statements aan het doen is en hele volksstammen aan software-ontwikkelaars over één kam aan het scheren is.


Ik kan je verzekeren dat als je iets verder zoekt dan het budget segment, je bij meer professionele partijen terecht komt waar beveiliging wel telt. Partijen waar multi-tenant applicaties degelijk opgezet worden zodat al op diepere lagen afgedwongen wordt dat de ene klant niet bij gegevens van de andere kan komen en waar dit ook rigoreus getest wordt voordat het uitgerold wordt.
0Basszje
@zeurkous30 juni 2017 17:41
Op zich wel, maar dat kan je ook wat aardiger zeggen. Niet iedereen is een onwetende 'webaap' . Hij / Zij zonder bugs werpe de eerste steen.
0zeurkous
@Basszje30 juni 2017 17:49
Als we zo gaan beginnen, doe dan wat E.W. Dijkstra suggereerde:

"Bugs" zijn voortaan alleen nog maar "defecten". Geen beestjes die stiekem in je code kruipen, maar problemen die jij, of in ieder geval iemand, zelf veroorzaakt hebt. Dus niet iets dat "natuurlijk" is en waar dus maar we dus maar een beetje halfslachtig tegen pappen en nathouden. Dus wel iets dat wellicht te voorkomen was geweest, en waar in ieder geval serieus over gedaan moet worden.

Zolang we softwareproblemen veroorzaken en oplossen als een soort sociale activiteit blijven zien, als chimpansees die elkaar ontvlooien, is "webaap" niet meer dan de correcte term.
0Basszje
@zeurkous30 juni 2017 17:50
Prima, succes op de top van de apenrots als de alfa :P
+1WillySis
@MadEgg30 juni 2017 15:20
Er is snel opgetreden nadat het lek bekend werd. Hoelang het lek daarvoor heeft bestaan is niet duidelijk. Het lijkt volgens EyeMove onwaarschijnlijk dat het lek is misbruikt, maar ze geven daar geen verklaring bij. Anderen kunnen het lek net zo goed hebben gevonden.
0SuperDre
@MadEgg30 juni 2017 19:35
Klopt, misschien, maar juist centralisatie is ook weer zeer gewenst om kosten en dergelijke lager te houden, ook is juist door centralisatie bescherming in principe makkelijker uit te voeren.
Hoe ver moet je gaan, en wat voor nut heeft het? zodra gegevens benaderbaar zijn op welke manier dan ook zijn ze kwetsbaar, hoe goed je ook probeert te beveiligen.
0R4gnax
@SuperDre30 juni 2017 20:56
Hoe ver moet je gaan, en wat voor nut heeft het? zodra gegevens benaderbaar zijn op welke manier dan ook zijn ze kwetsbaar, hoe goed je ook probeert te beveiligen.
Je kunt bijv. je multi-tenant applicatie zo schrijven dat bij het aanmaken/inschrijven van elke nieuwe tenant er een aparte DB account genereert wordt met een apart schema waaronder de data voor die klant opgeslagen wordt.

Daarmee voorkom je bijv. al cross-tenant data-access zoals hier het geval is geweest en als er dan eens een wachtwoord uitlekt van één klant, ga je niet gelijk je hele clientele een paniekbelletje hoeven geven...
+1DdeM
@Kees30 juni 2017 14:48
Dat bugs opduiken, ala. Dat die bug vervolgens met complete stacktrace op de LIVE website in beeld getoond wordt daarentegen.... Zeer laks van de ontwikkelaars van de website dat ze de error handling niet op orde hebben... Zeker niet op een site waar me persoongegevens gewerkt wordt.

Dat het bedrijf snel gereageerd heeft is zeer netjes en inderdaad proffesioneel, maar de verantwoordelijke ontwikkelaars mag hopelijk toch wel een stevig gesprek tegemoet zien lijkt mij.
0Stoelpoot
@Kees30 juni 2017 16:31
Een bug is iets anders dan je webserver alle fouten bloot te laten geven. Dat is toch zo'n beetje webserver instellen 101. Al breekt je complete webapplicatie totdat je m herstart als je op die en die knop drukt (ja heb ik weleens gehad :P), je stacktrace hoef je niemand te laten zien!
+1djexplo
@RobbieB30 juni 2017 14:25
De autoriteit persoonsgegeven doet eigenlijk niet anders dan meldingen van zo'n lek opslaan in een database, omdat de EU dit vereist.
Theoretisch kunnen ze een boete opleggen als een bedrijf een data lekt niet meld, en/of een boete bij grove nalatigheid. Maar nalatigheid word door de autoriteit persoonsgegevens gemeten aan de hand van het aantal meldingen, dus niet na een paar incidenten.

https://autoriteitpersoon...ldplicht_datalekken_0.pdf

https://autoriteitpersoon...hten-meldingen-datalekken
. Er zijn in 2016 geen boetes uitgedeeld.
De AP gaf het merendeel van de onderzochte organisaties een waarschuwing. Over het algemeen leidde dat tot beëindiging van de overtreding. Er zijn in het eerste kwartaal van 2017 geen boetes uitgedeeld.

[Reactie gewijzigd door djexplo op 30 juni 2017 14:28]

+1Robkazoe
@djexplo30 juni 2017 15:04
AP heeft slechts een beperkte capaciteit. Het merendeel van de meldingen die binnen komen, worden dan inderdaad netjes geregistreerd en dat is het dan. Vervolgens gaan ze bij bepaalde zaken die interessant zijn, verder onderzoeken.
+1FitsSprits
30 juni 2017 14:34
Na onderzoek zal het bedrijf bepalen of een melding bij de Autoriteit Persoonsgegevens vereist is.
WTF. Daar heb ik geen onderzoek voor nodig.
+1blorf
@FitsSprits30 juni 2017 15:04
Hoe belangrijk is het? Het statement dat het "nodig" zou zijn heeft geen betekenis. Er wordt alleen maar gesuggereerd dat die AP het verschil maakt maar dan zou er ook iets moeten zijn dat daarop wijst.
Als die privacy van de burger serieus belangrijk was leek het mij wel een goed idee om een schadeclaim per persoon in euro's voor te stellen en die ook daadwerkelijk rechtmatig te laten zijn. Wedden dat het heel snel afgelopen is met lekken op het moment dat euro's een rol gaan spelen?
Dan worden instanties met een dergelijke nonchalante houding automatisch opgeruimd, wat ze dan ook helemaal aan zichzelf te danken zouden hebben. Maar nee, de burger moet gewoon zijn mond houden. Alles wordt voor hem "geregeld". Oftewel: "hier in Den Haag hebben we geen moer te maken met jouw privacy."

[Reactie gewijzigd door blorf op 30 juni 2017 15:08]

+1falconhunter
@FitsSprits30 juni 2017 15:28
[...]

WTF. Daar heb ik geen onderzoek voor nodig.
Dat is dan knap. Want zolang je kan aantonen dat er geen misbruik is gemaakt van de kwetsbaarheid hoeft dat niet. Dat kan bijvoorbeeld als je goede logging hebt van de data die overgedragen is. Als daar niets van de data die mogelijk bereikbaar was bij staat hoef je niets te melden. Het is een misverstand dat je elke kwetsbaarheid moet melden. Je bent alleen verplicht de (verdenking van) misbruik te melden.

Niets WTF aan dus.
+1speed112
30 juni 2017 14:30
Terwijl het verboden is bij de wet om een copie van je paspoort of id te maken en dit aan derden te geven.... en al helemaal foute boel als deze gegevens ook nog eens opgeslagen worden.. pfffff
0Lennyz
@speed11230 juni 2017 14:53
Dat klopt niet. Makelaars zijn VERPLICHT om kopieën van identiteitsbewijzen/paspoort voor 5 jaar te bewaren van klanten.
+1blorf
@Lennyz30 juni 2017 15:15
Helemaal niet. Controle of een persoon daadwerkelijk degene is die hij/zij zegt is het enige waar een makelaar een identificatie voor nodig heeft. En ook het enige wat ermee kan. Verder is er geen informatie uit af te leiden.
Iets wat ik me nog kan voorstellen is dat een buitenlandse bank dit eist en de makelaar als bemiddelaar die kopie dus nodig heeft om bijv. een hypotheek rond te krijgen. Maar dan nog is ie fout op het moment dat hij beweert dat de klant dat tegenover hem persoonlijk verplicht is. Uit eigen belang zullen de meesten dat waarschijnlijk toch doen.
0SuperDre
@blorf30 juni 2017 19:45
En hoe moet de makelaar dat weer bewijzen aan controlerende instanties, op hun blauwe ogen? niet dus, zij moeten deze informative in hun administratie bewaren. Als dat allemaal niet nodig zou zijn, dan is er wel heel erg makkelijk te frauderen.
0speed112
@Lennyz30 juni 2017 22:24
Als jij de wet eens doorneemt zul je er vanzelf achter komen dat dit gewoonweg niet mag... copieeren of dupliceren van het i.d.. of persoonsbewijs mag wettelijk gewoonweg niet.

En tja, als instantie´s en bedrijven zich daar niets van aantrekken is mijn zorg niet he, maar je blijft toch wettelijk verkeerd en illegaal bezig zou ik zo zeggen.. ;)
0SuperDre
@speed11230 juni 2017 19:45
Nee hoor, je werkgever is ook verplicht om een kopie te hebben van je id bij indiensttreding.
+1AW_Bos
30 juni 2017 14:11
Na onderzoek zal het bedrijf bepalen of een melding bij de Autoriteit Persoonsgegevens vereist is.
Is dit niet altijd vereist als deze gegevens per ongeluk openbaar zijn. Beter safe than sorry, tenzij ze graag een boete willen hebben van duizenden euro's.
0rik86
@AW_Bos30 juni 2017 14:28
Op basis van wat ik hier zie en er vanaf weet zullen ze denk ik wel moeten melden én daarnaast acht ik de kans ook wel aanwezig dat ze een hoop mensen moeten informeren dat hun gegevens onderdeel zijn van een datalek.
0SuperDre
@rik8630 juni 2017 19:41
Voor zover ik begrijp moet men bewijzen hebben dat de data ook daadwerkelijk gelekt is.
+1botoo
30 juni 2017 14:34
Of criminelen daadwerkelijk toegang hebben gehad is niet bekend. EyeMove gaf tegen Berg aan dat dit onwaarschijnlijk is.
Volgens EyeMove zal het ongetwijfeld ook 'onwaarschijnlijk' zijn dat Nelson Berg toegang kon hebben. Denial much?
Na onderzoek zal het bedrijf bepalen of een melding bij de Autoriteit Persoonsgegevens vereist is.
Poging tot doofpot?
+1Haan
30 juni 2017 14:52
Na onderzoek zal het bedrijf bepalen of een melding bij de Autoriteit Persoonsgegevens vereist is.
Daar zijn ze nu al veel te laat mee, aangezien binnen 72 uur na ontdekking het gemeld moet zijn.. Het lek is al op 13 juni gemeld volgens de blog van Nelson, dus ze zijn al twee weken te laat met een eventuele melding :X
1 2 3

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True