Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Website gaf energieverbruik van particulieren en bedrijven prijs

De website van energiecollectief Samen Om maakte het mogelijk om naast het eigen energieverbruik ook dat van anderen in te zien. Er is nog geen melding gemaakt aan de Autoriteit Persoonsgegevens; de organisatie beraadt zich hier nog over.

De fout werd ontdekt door Bram Talman en inmiddels is de website aangepast. Volgens Talman vond de aanpassing plaats nadat er donderdagochtend in de media over zijn ontdekking was bericht. Eerder had hij een e-mail aan het bedrijf gestuurd, maar die kwam niet goed terecht. Hij laat aan Tweakers weten: "Ik vond de functie bij toeval omdat ik op zoek was naar een nieuwe energieleverancier. Ik kwam erachter dat het mogelijk was om ook een andere postcode in te vullen, zelfs als het vinkje uitstond dat ik daar woonde." Hij heeft naar eigen zeggen ongeveer 80 tot 90 postcodes uitgeprobeerd om de omvang vast te stellen.

In een reactie laat Samen Om-directeur André Dippel weten dat de functie niet op deze manier toegang had mogen geven tot verbruiksgegevens van anderen. Hij zegt: "Van de ACM moeten energieleveranciers een zo goed mogelijk aanbod op maat doen aan de consument. Wij waren iets te enthousiast in de informatieverstrekking." De website is meteen aangepast en in een nieuwe release wordt er gewerkt aan een manier om de identiteit van de opvrager te bevestigen.

Volgens Dippel was de functie vanaf begin vorige maand beschikbaar, maar zou er niet op grote schaal misbruik van zijn gemaakt. "Ik kan bijvoorbeeld zien dat er gisteren vijftig keer informatie is opgevraagd". Op de site van Samen Om, dat hiervoor bekendstond als de Duurzame Energie Unie, is er een pagina waar gebruikers zich kunnen aanmelden. Daar was een optie te vinden om het energieverbruik op te vragen. Dippel stelt dat Samen Om zich nog beraadt over de vraag of er melding aan de Autoriteit Persoonsgegevens wordt gemaakt.

Het is niet de eerste keer dat gegevens over energieverbruik in de verkeerde handen terechtkomen. Een jaar geleden bleek dat energiegegevens van twee miljoen huishoudens in handen zijn gekomen van een energieleverancier die daar geen toegang toe zou mogen hebben. Toezichthouders constateerden daarvoor al dat er te weinig controle was op gebruik van databases met energiegegevens.

Door Sander van Voorst

Nieuwsredacteur

02-11-2017 • 12:08

67 Linkedin Google+

Submitter: AnonymousWP

Reacties (67)

Wijzig sortering
Ik zal wel te laat zijn om gelezen te worden maar het zit zo:
Het Centraal Aansluitregister (CAR) waar Wilbert de Vries het over heeft staat bij Energie Data Services Nederland (EDSN), eigendom van Netbeheer Nederland, de verzameling van alle netbeheerders van Nederland.

Als energieleverancier maak je gebruik van het CAR om onder andere aansluitingen aan- en af te melden. Verbruiksgegevens worden gebruikt om een representatief voorschotbedrag (lees: termijnbedrag, de “eenduidige” term voor voorschot die de ACM opgelegd heeft) te berekenen en aanlevering van meterstanden door de klant te valideren. Die gegevens mogen geraadpleegd worden door de leverancier waar jij momenteel energie door geleverd krijgt.

Elke andere leverancier kan deze data ook zonder jouw goedkeuring raadplegen. KAN, maar MAG dat niet zonder jouw goedkeuring. Elke verkoper die aan jouw deur staat en je exacte jaarverbruik weet zonder eerst jouw goedkeuring te vragen is niet legaal bezig.

Echter door het datalek van september 2016 waar data van twee miljoen huishoudens opgehaald is, is de ACM en Autoriteit Persoonsgegevens (AP) Netbeheer Nederland gaan najagen voor maatregelen. Gevolg is dat per maart 2018 privacygebonden gegevens niet zomaar meer opgehaald kunnen worden door elke leverancier tenzij er een getekend toekomstig contract is of actief energie geleverd wordt.

Wil een energieleverancier waarbij jij geen klant bent data als verbruik, meterstanden en type van de aansluiting toch opvragen dan is daar een zogenaamde klantsleutel voor nodig bestaande uit je verjaardag (exclusief geboortejaar) of laatste 3 cijfers van je IBAN. Deze gegevens is de energieleverancier waarbij je nu klant bent verplicht aan te leveren.

Dit voorkomt dat een willekeurige verkoper aan je deur jouw gegevens misbruikt en voorkomt voorvallen als dit nieuws.
Als je dus vaak overstapt van energieleverancier (i.v.m. welkomstkortingen etc.) dan zijn er dus flink wat leveranciers die jouw "klantsleutel" dus weten. Die "klantsleutel" komt bij mij totaal niet betrouwbaar over.
Elke leverancier moet de klantsleutel na twee weken verwijderen. Aan de klantsleutel is een toestemmingssleutel gekoppeld. Dat is een bewijs van de goedkeuring van het gebruik van de klantsleutel. Die moet minstens een jaar bewaard blijven en wordt steekproefsgewijs door de netbeheerders gecontroleerd. Een leverancier moet bij opvraag van de toestemmingssleutel binnen 72 uur het bewijs overhandigen.

Er is gekeken naar andere oplossingen als DigiD maar vergeet niet dat deze nieuwe werkwijze ook van toepassing is op aansluitingen van bedrijven. Daarnaast betreft het tientallen partijen van kleine tot grote leveranciers die mee moeten in die techniek en alle wijzigingen.

[Reactie gewijzigd door ooojeee op 3 november 2017 08:15]

Heel simpel, gewoon om de paar jaar bij de gemeente je geboortedatum wijzigen...

8)7
Gegevens over alle aansluitingen en contracten staan in Centraal Aansluitingen Register en het Centraal Einddatum Register. Dit wordt beheerd door de netbeheerders en nagenoeg alle leveranciers doen hieraan mee. Deze database bevat gegevens over de aansluiting, het verbruik en de einddatum van een contract. Deze database wordt gebruikt door leveranciers om een aanbod op maat te kunnen doen, zoals dat zo mooi heet en is voor zover mij bekend een uitvloeisel van regelgeving die dergelijke gegevensuitwisseling vereist om de markt eerlijker te maken - ofzo. Opt-out is ook geen mogelijkheid. Dit is de database die verkopers aan de deur gebruiken om te zeggen dat ze weten wat je verbruik is en je zo dus een beter aanbod te kunnen doen.

Overigens is deze informatie via de in dit artikel genoemde website nog steeds in te zien. De functie is simpelweg uitgecomment en doordat ongedaan te maken en het scriptpad hard in te stellen, kun je al aan de slag. Net zelf getest en zo uit mijn hoofd klopt de data redelijk. Gegevens over teruglevering lijken wel te ontbreken in mijn geval. Toch eens aan de buren vragen hoe zij hun verbruik zo laag houden :P
Wat een developers werken daar. Denken dat door enkel de functie in comment te zetten het hele probleem is opgelost... 8)7
Wat ik me afvraag is hoe deze site in eerste instantie aan deze data is gekomen. Is dit data die ze zelf hebben verzameld van hun klanten of staat de informatie van niet-klanten daar ook in?
[...]
Database

De energiedata van Nederlandse huishoudens wordt opgeslagen in een centrale database van brancheorganisatie Netbeheer Nederland. Uit die database werden vorig jaar al de gegevens van twee miljoen huishoudens gestolen [Tweakers link].
[...]
Door: NU.nl

[Reactie gewijzigd door Peregrine op 2 november 2017 13:40]

[EDIT]
Reactie is aangepast, reactie inhoudelijk niet meer van toepassing.

[Reactie gewijzigd door Nas T op 2 november 2017 19:12]

Het klopt dat ik dat impliceer, en dat lees ik ook uit het stuk van NU.nl.
edit:

Ah, check, nu zie ik wat jullie lezen. Nee, ik wil NIET impliceren dat "Samen Om" de eerder gestolen data gebruikte, ik impliceer dat ze dezelfde database gebruiken, en dus uit dezelfde database lekken.


Daar wordt ook gesteld dat het het verbruik van alle houshoudens betreft. En aangezien "Samen Om" niet alle huishoudens als klant heeft, lijkt het me sterk dat het dan alleen de informatie betreft van hun eigen klanten zoals jij stelt.

P.S. Dat mijn vorige reactie door sommigen wordt beoordeeld als "offtopic / irrelevant" vind ik interessant. Als mijn conclusie hier juist is, dan gaat het dus om een leverancier die toegang heeft tot de centrale database, en dat daarom deze gegevens op straat komen te liggen. Dat is wat mij betreft dan ook het probleem bij centrale opslag: als je anderen toegang daartoe geeft, dan is dat gewoon een zwak punt in je beveiliging en als die partijen er dan slordig mee om gaan, dan gebeuren dit soort dingen.

[Reactie gewijzigd door Peregrine op 2 november 2017 13:42]

Je impliceert verkeerd volgens mij. Als je dit artikel leest zeggen ze dat Samen Om blijkbaar gewoon recht had/heeft op die gegevens, maar dat ze alleen verkeerd met die gegevens zijn omgegaan. Ze noemen het zelfs een nieuwe functie. Dus je haalt volgens mij 2 verschillende zaken door elkaar.

Je laatste punt is waar t wel om gaat en inderdaad wat aan gedaan moet worden.

[Reactie gewijzigd door xs4me op 2 november 2017 13:48]

Nee. Peregrine impliceert niets verkeerd.

Verkeerd interpreteren (van een vraag en van een antwoord) is wèl wat hier gebeurd is:

Peregrine antwoorde op de vraag van rolandp 'Is het data van eigen klanten of van alle klanten van bedrijven in Nederland?'
Dat antwoord luidde, correct geïnterpreteerd (en hier verwoord door mij): Het ging om databased gegevens van àlle Nederlanders.
Via conversationale implicatuur betekend dat dat het níet ging om gegevens van de eigen klanten alleen. (Logisch bezien /niet strikt conversationeel beredeneert ìs het overigens mogelijk dat uit de centrale database door toeval, of gericht zoeken, toch enkel gegevens van het Samen Om clubje gelekt zijn.)

Wat jouw @xs4me verwerpelijke aanval op de intellectuele vaardigheid van Peregrine veroorzaakt (volgens mij) is het feit dat @Nas T storende ruis (een 'losse flodder'-reactie op iets wat hem/haar in het verkeerde keelgat sprong :? ) introduceerde;
hij/zij veroorzaakte storing in de discussie door de originele vraag van rolandp wel heel faliekant verkeerd te interpreteren: Nas T reageerde op een onderdeel van de reactie van Peregrine dat hij/zij (die Nas T) los van context(het antwoord) heeft geïnterpreteerd:
Peregrine deelde namelijk een tweeledig argument - Het één betrof het antwoord ('niet enkel de eigen klanten maar die "centrale database" '), het ander betrof een ondersteunend argument dat accentueerde waarom, volgens Peregrine, zijn antwoord correct zou kunnen zijn. Namelijk omdat het al eerder gebeurd was ("2 miljoen huishoudens".)
Dit tweede deel is nu doorgestreept, ik neem aan met als doel te helpen focussen op het antwoord in plaats van de ondersteuning van dat antwoord, om zodoende nog meer misinterpretaties als die door Nas T te voorkomen.

Kortom: Peregrine heeft aantoonbaar geen moeiten gespaard om het anderen toch vooral zo makkelijk mogelijk te maken te maken om zijn antwoord te vatten.

Persoonlijke (slot)noot: Dit gemiep op hem/haar én het verkeerd zien van implicaties waar helder (maar wat minder toegankelijk) geargumenteerd werd is stom en/respectievelijk dom of ondoordacht. En ik wil iedereen aanraden om vóór je op de man gaat spelen toch vooral eens goed(!) de reactie(-s) te lezen die boven de reactie staat waarop je je gevoelens wilt botvieren. Dit negatieve geneuzel had zo ook voorkomen kunnen worden..

[Reactie gewijzigd door BStorm op 2 november 2017 14:55]

... verwerpelijke aanval op de intellectuele vaardigheid van Peregrine veroorzaakt (volgens mij) is het feit dat @Nas T storende ruis (een 'losse flodder'-reactie op iets wat hem/haar in het verkeerde keelgat sprong :? ) introduceerde;
hij/zij veroorzaakte storing in de discussie door de originele vraag van rolandp wel heel faliekant verkeerd te interpreteren ...
Het zou niet mogelijk zijn dat de reactie waarop ik reageerde is aangepast en mijn reactie dus niet meer van toepassing is? Ik zie nu dat ik had moeten quoten om dit te voorkomen, omdat het nu "faliekant" verkeerd geïnterpreteerd werd.
Nouja, heel eerlijk: Je hele reactie had überhaupt niets met de discussie te maken. Het ging namelijk niet over een vraag of dezelfde data (die 2 miljoen huishoudens) gelekt was als eerder te ja of te nee. Het ging om de vraag of data gelekt was van klanten vanuit enkel-en-alleen deze specifieke winkel te ja of te nee.

Komt bij dat die Peregrine heel consistent argumenteerde in meerdere/opvolgende reacties dus ik denk niet dat die inhoudelijk iets heeft aangepast. Daarenboven heeft hij/zij wel transparant (herkenbaar, door te doorstrepen i.p.v. verwijderen) zijn/haar cosmetische wijziging aangebracht voor wat betreft focus op de hoofdzaak (focus naar het antwoord, en niet de ondersteuning van dat antwoord.)

Kortom, I call BS. Maar laat dat het plezier niet bederven Nas T; iedereen flapt er hier wel eens wat uit dat achteraf bezien toch minder scherp blijkt dan je destijds dacht. Ik ook. En da's prima, tenminste.. zolang we een beetje netjes blijven qua toon: De aanval op Peregrine door xs4me ging wat mij betreft wel wat verder. Misschien niet te ver voor dit forum, maar geheel comme il faut is anders, -vind ik- ;-)

Tot slot: Mocht het zo zijn dat Peregrine wèl als een malle zijn/haar opvolgende reacties inhoudelijk heeft aangepast dan uiteraard bij dezen mijn excuus voor het niet in acht (kunnen) nemen van die vorige versies van argumentatie. Hey, en een goede avond bovenal! :Y)
Ik vind dat je vooral jezelf schuldig maakt aan wat je anderen verwijt. Misschien toch 's wat meer energie in opbouwende zaken steken ipv dit geneuzel.

Bottom-line was dat Peregrine verkeerde conclusies trok op basis van de verkeerde gegevens, getuige ook z'n aanpassingen om dit te corrigeren. Oordelen, zeker op basis van verkeerde informatie, vind ik wel wat serieuzer dan al die semantische BS over woorden van jou. Ik attendeerde hem daar op en hij heeft dat aangepast.

Misschien dat mijn toon jou dan niet bevalt, maar laten we eerlijk zijn, jij draagt niet alleen niks bij, waarbij je alles waarvoor je staat in 1 post zelf weet tegen te spreken - je valt mij immers persoonlijk aan, je bent ook nog 's compleet off-topic.
Ik zal even zin-voor-'zin' reageren:
1: Die mening mag je hebben. Proost :Y)

2: Dit 'geneuzel' ìs opbouwend; want het attendeert mensen op tekortkomingen in hun argumentatie. Zijn ze in staat daar iets mee te doen, dan heb ik hen dus geholpen op te bouwen.

3: "getuige ook' Da's een voor mij oncontroleerbaar gegeven zoals ik helder heb uitgelegd in bovenstaande correspondentie. Ik heb dat onderlegd en met nuance gedaan. Neem eventueel je tijd dat nog eens na te lezen; je kunt dan herkennen dat mijn respons -op basis van wat ìk kon zien- correct is (n.a.v. aangepaste reacties van meerdere forumleden).

4: Oordelen zònder die semantische BS, dat wil zeggen nuance en onderbouwing, zal al helemáál nooit serieus genomen worden. Behalve misschien door individuen die het enkel gaat om het klakkeloos na blaten van pulp. Oordelen is dus juíst NIET serieus. Wat serieus is zijn de nuance en onderbouwing die al-of-niet leiden tot een oordeel!

5: Zie puntje 3 hierboven.

6: Informal Fallacy / Fallacies of Irrelevance / Genetic Fallacy > Ad Hominem / Tu Quoque / Whataboutism En zie puntje 2 v.w.b. 'offtopic'

[Reactie gewijzigd door BStorm op 3 november 2017 15:12]

1: Proost
2: Hoe heeft het mij of degene die conclusie verbond aan verkeerd geplaatste data geholpen dan? Er is geen toegevoegde waarde, alleen maar vervuiling met off-topic geleuter. Welke tekortkomingen in mijn argumentatie? Hij had data geplaatst die niet klopte, ik gaf dat aan, is gecorrigeerd, opgelost. Maar niet volgens jou blijkbaar. Er moest nog iets opgebouwd worden :S Nee, er moest nog iemand bekritiseerd worden op basis van je eigen gevoel / mening.
3: Oncontroleerbaar misschien, daarom is je reactie ook zo misplaatst. Je baseert 't dus ook op basis van verkeerde/selectieve informatie. Dan is het dus ook enkel een mening met gebrekkige argumentatie. En die mag je hebben, nogmaals proost. Ga alleen niet lopen bazuinen dat het opbouwend is.
4: Een oordeel van geen rechthebbende over iets, zeker als het niet klopt, hoef je niet "serieus te nemen" inderdaad. Dat is wat anders als dat je er anderen wel degelijk mee schaad en dus serieus is. Het is dus beter hier wat genuanceerder in te zijn als je de feiten niet kent - zeker omdat jan en alleman het gewoon maar aanneemt voor waarheid en er z'n oordeel aan verbind (zonder dus die nuance), DAT maakt het serieus en dat wilde ik corrigeren. Je gespeel met woorden maakt iets niet meer of minder waar en helpt misschien in discussies winnen, maar heeft weinig met opbouwen, oplossen of waarheid te maken.
6: dat wordt een infinite loop als je dit als een argument aandraagt. Spiegel enzo ...

Bedankt voor de nieuwe woorden die je me hebt geleerd. Dat was dan de enige toegevoegde waarde.

[Reactie gewijzigd door xs4me op 3 november 2017 16:57]

De meterstanden welke netbeheerders opvragen worden gezamenlijk geregistreerd bij Energie Data Service Nederland (edsn.nl). Een energieleverancier kan daar voor een adres het energiegebruik van de afgelopen 15 jaar opvragen. Dit wordt o.a. gebruikt om een schatting van het voorschotbedrag te maken, of een schatting van de meterstanden als deze niet worden doorgegeven.
Maar vooral om colporteurs langs te sturen.
In principe niet, maar het zou best wel eens geïntroduceerd kunnen zijn. (leek ik gelezen te hebben)

Je hebt verbruiksgegevens nodig om het werk te kunnen doen, anders moet je het overschot kunnen opslaan en op overschot sturen. Opslag is ontzettend duur, of niet mogelijk. Volgens mij zijn er helemaal geen echt goede elektra opslag methodes en voor gas zijn simpelweg niet zoveel locaties beschikbaar (zit best wat infrastructuur aan vast).
Deze sector zou ook per definitie nooit geprivatiseerd moeten zijn, omdat je ware efficiëntie alleen haalt door alles op 1 hoop te kunnen gooien. En dan heb je al die onnodige balast ook niet meer (topic website / colporteurs).
Ik denk dat het allemaal gemakkelijk met enkele honderden procenten goedkoper/efficiënter kan, maar een grote groep midden/hoge klasse valt dan weg.

Daarbij is het hier wel relatief goed geregeld en vallen dingen zelden uit.
Toevallig van de week de netbeheerder nog gebeld om te vragen hoe het kan dat een verkoper van Essent (niet mijn leverancier) kon zien wat mijn verbruik is.
"ESDN mag niet gebruikt worden voor marketing" werd mij verteld.
Maar hoe ze dan wel aan die data komen.....
Data van niet klanten staat er ook:
Kijk maar bij je eigen gegevens:
Waneer komen er nou eens celstraffen op dit soort dingen te staan?
Zo eenvoudig is het niet.
Je wilt een soort van bescherming bieden aan je ontwikkelaar net zoals managers niet juridisch persoonlijk aansprakelijk zijn (hetzij bij een kennelijk grove fout). Anders zou niemand die functie nog willen uitoefenen, iedereen kan wel eens een fout maken.
De nalatige bedrijven zouden wel beboet of een andere vorm van sanctie moeten ondervinden zodat de druk intern hoger ligt om dit soort lekken te vermijden.

[Reactie gewijzigd door bn326160 op 2 november 2017 12:19]

De nalatige bedrijven zouden wel beboet of een andere vorm van sanctie moeten ondervinden zodat de druk intern hoger ligt om dit soort lekken te vermijden.
Boetes werken niet om een aantal redenen:

1.
De pakkans is klein. Hoe hoog de boete ook is, als de pakkans minimaal is dan is het een laag risico dat ondernemers graag accepteren. Immers gaat het vaak goed, en compenseert de winst over alle keren dat het goed gaat ruimschoots de mogelijke verliezen.

2.
Je beboet organisaties en niet de personen die foute beslissingen maken. Het gaat niet om mensen hun eigen geld, maar om dat van een organisatie. Dat maakt het geen straf, maar extra belastinguitgaven. Bovendien kunnen de makers van foute beslissingen uit het verleden allang al gevlogen zijn, en zo ontlopen zij de straf.

Informatiebeveiliging valt onder maatschappelijk ondernemen, en zou daarop ook afgerekend moeten worden. Dat is natuurlijk in redelijkheid en billijkheid. Hoe goed je informatiebeveiliging is, een aanvaller die niet stopt komt uiteindelijk wel binnen. Het gaat erom hoeveel moeite die moet doen. Misbruik van een zero day is bijvoobeeld totaal iets anders als een SQL injectie. Tegen dat eerste kan je je nooit volledig bewapenen, tegen dat laatste wel.

[Reactie gewijzigd door The Zep Man op 2 november 2017 12:32]

Het is blijkbaar verplicht melding te doen van een datalek, dus de pakkans is in principe niet minimaal. Uiteraard is de wereld niet perfect, maar indien je toch gepakt wordt kan je de boete een pak hoger leggen.

Ik snap uw argumentatie maar juridisch is het niet zo eenvoudig. Alsook blijf je met het probleem dat niemand de functie nog zal willen uitoefenen. Het is eigenlijk dezelfde discussie omtrent managers en kaderladen.

En boetes kunnen bedrijven zeker afschrikken, zeker wanneer deze een bepaald percentage van de omzet bedraagt.
Het is blijkbaar verplicht melding te doen van een datalek, dus de pakkans is in principe niet minimaal. Uiteraard is de wereld niet perfect, maar indien je toch gepakt wordt kan je de boete een pak hoger leggen.
Je hoeft niet altijd iets bij het AP te melden. Dat ligt aan een aantal factoren. Daarnaast zullen er zal bedrijven zijn die liever het risico lopen dan daadwerkelijk de schade onder ogen te zien.
Ik snap uw argumentatie maar juridisch is het niet zo eenvoudig. Alsook blijf je met het probleem dat niemand de functie nog zal willen uitoefenen. Het is eigenlijk dezelfde discussie omtrent managers en kaderladen.
Dat is onzin. Het is niet alsof er geen boekhouders of bestuur meer zijn in organisaties in de VS, ondanks de Sarbanes-Oxley Act. Er is een verschil tussen kunnen en willen.

[Reactie gewijzigd door The Zep Man op 2 november 2017 12:38]

Eens, in bepaalde omstandigheden.

Wat als er getest is, een bug gevonden is, doorgegeven is, naar analyse is gegaan, en dat van management de melding terugkomt:
"Hier gaan we niet in investeren".

Vervolgens wordt bugreport afgesloten omdat "de kans dat zoiets gebeurd toch onbestaande is".

Dan vind ik persoonlijk dat je ze met de good ol' RL banhammer mag hitten hoor...
Celstraf op het maken van fouten? Dan voer ik als programmeur niets meer uit voordat een manager getekend heeft dat hij het goedgekeurd heeft. Wie ga je uiteindelijk opsluiten?
Celstraf op het maken van fouten?
Celstraf op nalatigheid, en dat voor de eindverantwoordelijken.

Vergelijk in de VS de Sarbanes-Oxley Act, waarmee bestuurders celstraffen kunnen krijgen als de boekhouding van hun bedrijf niet op orde is. Sinds de invoering zijn bij praktisch alle bedrijven de boekhouding tot op de cent nauwkeurig. Dat komt omdat boekhouders nu ook de ruimte krijgen om correct hun werk te doen. Dat zou jij ook als programmeur kunnen krijgen. Boekhouders doen nog steeds hun werk, en jij als programmeur kan jij dat ook gewoon blijven doen.

Of iemand of iets nalatig is geweest zou een rechter moeten bepalen. Ik doe geen oordeel over dit specifieke geval. Wel weet ik dat zolang het enkel economische gevolgen voor een organisatie kan hebben, dat niemand zich er wat van aan zal trekken. Informatiebeveiliging is nu eenmaal duur, lastig, en enkel ondersteunend. Net als boekhouding. Informatiebeveiliging heeft een maatschappelijke functie. Net als boekhouding.

[Reactie gewijzigd door The Zep Man op 2 november 2017 12:25]

Waarbij een boekhouder een hele eenvoudige check* kan doen (alle uitgaves+inkomsten bij elkaar optellen moet gelijk zijn aan het rekeningsaldo).

Bij programmeren bij je meer afhankelijk van de creativiteit van de ontwikkelaar c.q. hacker om fouten te vinden en op te lossen, je moet maar net het idee krijgen om een bepaalde functionaliteit te testen.
In dit geval is het natuurlijk heel simpel door een vinkje uit te zetten word een check overgeslagen. Maar wat als er een functie in zat die alleen checkt of de eerste 4 tekens van een postcode en het huisnummer correct zijn, en de letters niet bekeken worden.
Je moet maar net op het idee komen om andere letters te gebruiken en te testen of andere letters ook afgevangen zijn.

Wat ik hiermee wil aangeven: Het is niet mogelijk om een 100% sluitende check te maken bij programmatuur, je zult altijd genoegen moeten nemen met 90-99-99,9-99.99 % zekerheid. Hoe meer 9'ens je wilt, hoe meer de kosten voor het ontwikkelen zullen toenemen, met als gevolg dat de producten duurder worden, etc, etc.
Bij een boekhouder is er een simpele check* mogelijk wat je een zwart/wit antwoord kan geven

*zo simpel zal de check niet zijn, maar je snapt het punt, je hebt een controle op het controleren.
Wat ik hiermee wil aangeven: Het is niet mogelijk om een 100% sluitende check te maken bij programmatuur, je zult altijd genoegen moeten nemen met 90-99-99,9-99.99 % zekerheid.
Absoluut. Daarom schrijf ik ook in een andere reactie dat het vanuit redelijkheid en billijkheid moet. Een rechter zou dit moeten beoordelen. Wat voor deze organisatie nadelig werkt in dit geval is dat er geen reactie was toen de kwetsbaarheid werd gemeld. Hierop zouden ze dan ook afgerekend moeten worden, niet per se op de programmeerfout.
hahaha een rechter moet dit beoordelen. Sinds wanneer hebben rechters verstand van IT, laatstaan programmeren?
hahaha een rechter moet dit beoordelen. Sinds wanneer hebben rechters verstand van IT, laatstaan programmeren?
Dat is bekend en daar wil men verandering in brengen. Wat er niet is kan ingevoerd worden.
Uiteraard kan je als mens fouten maken, maar een applicatie als deze met de aard van de onderliggende data zou mijns inziens onder wet- of regelgeving dienen te vallen waarin vastgelegd is dat hier een 3rd party penetration test op uitgevoerd moet worden en dan ben je dit soort gaten vrij snel op het spoor voordat een release naar productie kan gebeuren met alle gevolgen van dien.
Jaarlijkse audits van de accountant op aanwezigheid pentest rapporten voor alle releases van applicaties die privacygevoelige data verwerken of opslaan, naast de audit op de boekhouding, zou ik geen hele rare ontwikkeling vinden om dit soort misstanden de kop in te drukken. Vervolgens kan je hier dezelfde strafmaatregelen aan verbinden als bij economische fraude en dan past men wel beter op voordat er geprutst wordt met gegevens van deze aard.
Geen straf op fouten, dat werkt niet. Straf op omstandigheden die fouten in de hand werken.
Kijk naar de medische wereld, daar hebben ze dit probleem al honderden jaren.
Niemand zal de dokter straffen voor het overlijden van een patient. De straf is voor de dokter die (bijvoorbeeld) z'n handen niet wast of op een andere manier nalatig is. Of de dokter z'n handen wast kun je regelmatig controleren en corrigeren voor het echt fout gaat.

Als het dan toch fout gaat wordt er gekeken of de dokter zich aan de geldende voorschriften heeft gehouden en zorgvuldig heeft gehandeld. Pas dan wordt vastgesteld of er gestraft moet worden of niet.
Boetes genoeg voor, vanaf volgendjaar maart ofzo kost ze dat 4% van hun jaarlijkse omzet als boete tot een bepaald bedrag. Tenminste als dit hieronder valt kan ook onder een andere boete vallen

[Reactie gewijzigd door Twanekel op 2 november 2017 12:38]

4% van een BV die dus op papier 0 winst maakt.
Wereldwijde jaaromzet van het concern waar die flut-BV toe behoort. Nee, dit soort trucjes kennen rechters al.
Mei ;-) en volgens mij was het 4% inderdaad maar elders lees ik 5%

En het is een percentage van de wereldwijde jaaromzet, niet *winst*.
Niet persé overigens, als er een melding is gedaan dan wordt het per geval bekeken.
Celstraffen niet, maar met de aankomende GDPR-wetgeving wordt het wel zwaar beboet... 5% van de jaaromzet (wereldwijd). Volgens mij wel tot een bepaald maximum..
Zonder regulering zal informatiebeveiliging altijd het eerste zijn waar beknibbeld op wordt in het gevecht voor zo laag mogelijke kosten.

Een probleem is ook dat er geen gevolgen zijn. Mogelijk gaat men dit melden bij de AP. En dan? Een boete? Dat is gewoon in te calculeren als bedrijfsrisico. Wanneer de kans laag is en de impact groot dan denkt men dat het allemaal wel mee zal vallen.

[Reactie gewijzigd door The Zep Man op 2 november 2017 12:18]

Het moet wellicht behandeld worden als economisch misdrijf lijkt me. Kroegen die een zelfde afweging maken met betrekking tot "binnen roken" omdat dat minder kosten met zich meebrengt, en het voor de klant makkelijk maakt worden ook op die manier beboet en eventueel gesloten.
Er is nog geen melding gemaakt aan de Autoriteit Persoonsgegevens, de organisatie beraadt zich hier nog over.
Nu zullen ze wel moeten; het feit is bekend, de "straf" is bekend dus het lijkt me vrij onmogelijk om nu geen melding meer te doen om mogelijke image-schade te voorkomen.
Dat vond ik ook al een hele rare opmerking in het artikel... Wat valt er over na te denken? Het is verplicht, hooguit moet je nadenken over hoe je dat precies doet als je een kleine organisatie bent. Niet melden is geen optie voor zover ik weet, tenzij je graag boetes krijgt (zeker als het in het nieuws komt).
Wat maakt het uit dat deze data publiekelijk toegankelijke is of niet? Immers, kan een bedrijf zich gewoon aanmelden voor het landelijke systeem waar al deze data in staat.

Een tijdje geleden kreeg ik een bericht van mijn energieleverancier dat ik overgenomen was door een andere energieleverancier zonder dat ik hier iets van wist. Dit had een derde bedrijf gedaan door middel van de data uit het landelijke systeem om vervolgens de affiliate bonus op te eisen. Deze data zou naar mijn mening gewoon niet in een landelijke database moeten staan, nergens voor nodig, maar maakt wel misbruik mogelijk.
Begrijp ik het goed dat Samen Om de beschikking heeft over informatie over het energieverbruik van mensen die nog geen klant zijn bij ze? Ik kan me moeilijk voorstellen dat het verwerken van dergelijke persoonsgegevens gerechtvaardigd is...
Postcode waar ik op iets aanvraag is toch persoonlijk, daarbij is het bedrijf verplicht om dit te melden bij AP? Of ze het doen is een tweede, maar als dit gemeld wordt dan riskeren ze toch een boete?
Er is nog geen melding gemaakt aan de Autoriteit Persoonsgegevens, de organisatie beraadt zich hier nog over.
Want? Ik ben erg benieuwd wat een reden kan zijn om het daar niet te melden, buiten politiek geneuzel uiteraard.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True