Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

PatiŽntenfederatie Nederland verliest externe harde schijf met data 25.000 leden

PatiŽntenfederatie Nederland is een externe opslagschijf kwijtgeraakt met daarop de gegevens van 25.000 panelleden. Onder de gegevens zit informatie over aandoeningen van de personen. De harde schijf is waarschijnlijk gestolen.

De PatiŽntenfederatie Nederland is de externe harde schijf in november kwijtgeraakt na een verhuizing in Utrecht. Een extern recherchebureau kwam na onderzoek tot de conclusie dat de schijf waarschijnlijk gestolen is. Op de harde schijf stonden gegevens zoals e-mailadres, leeftijd, geslacht en opleiding van 25.000 deelnemers aan panelgroepen van de federatie. Het gaat onder andere om leden die in juni of juli een niet-reanimerenpenning hebben aangevraagd.

Daarnaast stonden ook gegevens over de persoonlijke situatie van de mensen op de schijf, waaronder over aandoeningen van de panelleden. Verder waren er bedrijfsgegevens op de schijf aanwezig. De externe harde schijf was niet beveiligd, waardoor eventuele kwaadwillenden vrijelijk over de data kunnen beschikken. Wachtwoorden waren niet op de drive aanwezig.

De patiŽntenfederatie licht de 25.000 betrokkenen per e-mail in over het incident. De organisatie meldt dat de gegevens niet op een externe schijf opgeslagen hadden mogen worden en dat dit bij uitzonderingen voortaan alleen nog bij beveiligde schijven en usb-sticks mag.

PatiŽntenfederatie Nederland is de overkoepelende organisatie van zo'n 160 patiŽntenverenigingen. De organisatie probeert patiŽnten onder andere te helpen zorgkeuzes te maken via ZorgkaartNederland. De organisatie heeft de vermissing gemeld bij de politie en de Autoriteit Persoonsgegevens.

Door Olaf van Miltenburg

NieuwscoŲrdinator

21-12-2017 • 21:02

116 Linkedin Google+

Submitter: Pinobigbird

Reacties (116)

Wijzig sortering
Dit komt voor mij toch wel ontzettend knullig over, waarom zou je die gegevens op een niet beveiligde harde schijf zetten?
Bij veel grotere bedrijven zijn usb poorten sowieso read only. Dit soort data hoort enkel op beveiligde computers/servers thuis het liefst in een beveiligde database en applicatie. Benaderen op afstand moet dan wel via VPN, en bij uitzondering.

Waarom zou je dit soort date op een externe schijf willen hebben?
Bij veel grotere bedrijven zijn usb poorten sowieso read only.
[cynisme]Dat is wel fijn; komt de malware alleen naar binnen.[/cynisme]
In de bedrijven die ik in de dagelijkse praktijk tegen kom is juist de trend naar steeds meer openheid, en het juist zorgen voor beter bewustzijn bij de eindgebruikers, in plaats van denken de zaak goed te beschermen en dat ondertussen de echte misbruiker toch wel zijn weg weet te vinden.

(Als poorten read-only zijn en je zou data willen hebben dan gebruik je een netwerk-disk, desnoods hang ik de disk rechtstreeks aan de misbruikte pc via de netwerkpoort.)

Wat mij opvalt in de reacties is dat velen roomser dan de paus lijken en denken dat alles dicht kan zijn. De praktijk is (helaas) anders. De procedure was hier wellicht best goed uitgedacht: we zetten de transporteren data op een schijf, we brengen de schijf persoonlijk naar de ontvangende partij, die zet de data op de doellocatie, en de bron kan weer terug.
Mogelijk is er gedacht: nog even niet wipen, want je weet maar nooit. DŠŠr is de fout gemaakt: de disk inclusief data is kennelijk niet veilig genoeg opgeborgen.
Valt niet goed te praten, moet zeker gemeld worden en ze (of beter: we met zijn allen) moeten er zeker iets van leren. Dat er nu wordt gedaan dat dit door een enorm stelletje Dombo's is gedaan vind ik echter nogal overdreven.
bij ons hebben we in de GPO gewoon ingesteld dat alleen geaccordeerde USB-sticks met bitlocker worden geaccepteerd. Verder alleen HID's waarvan op hardware-id niveau is ingesteld of ze wel of niet mogen.
Zelfs als ze het zo hadden bedacht, en zelfs als de externe HDD is gestolen van PF, is er nog geen enkel excuus om niet tenminste iets als veracrypt te gebruiken: FOSS, makkelijke GUI, een audited code base, en gratis.
In deze is PF gewoon een schuldige entiteit en zou dus gewoon een hoge boete moeten krijgen voor het roekeloos omgaan met gevoelige data.

Dat data veiligheid niet in de mindset zit van die mensen is in dit tijdperk onbegrijpelijk en wellicht onvergeeflijk, en als ik een van de slachtoffers was geweest was er een hele goede kans dat ik een serie rechtzaken tegen ze wss begonnen, oa om jurisprudentie af te dwingen voor zover die nog niet bestaat.

Nogmaals: we moeten af van het idee dat "alleen experts aan veiligheid doen". Dat is namelijk in de wortel exact de mentaliteit die dit soort belachelijke knulligheden Łberhaupt mogelijk maakt.
In de plaats daarvan moet er gewoon een structureel en maatschappij-brede inlichtings- en opvoedingscampagne komen. De stakes zijn te hoog om zit maar keer na keer te laten gebeuren en dan enkel te reageren met Į\_(ツ)_/Į. Want vergis je niet: ze hebben wellicht het minimale gedaan wat verwacht werd bv het aangeven bij de Autoriteit Persoonsgegevens, maar effectief zal er weinig veranderen daar totdat ze een paar gevoelige stoten krijgen als instituut, en dat kan het beste met een geldboete die herhaling van dit debacle te duur maakt voor ze.

[Reactie gewijzigd door Jeanpaul145 op 24 december 2017 14:34]

Waarom zou je dit soort date op een externe schijf willen hebben?

Omdat je te weinig schijfruimte hebt om je bestanden fatsoenlijk op te kunnen slaan en bewerkingen te kunnen maken? Vaak worden policies opgesteld die slecht aansluiten bij persoonlijke werkzaamheden.
Dat het niet versleuteld is, is natuurlijk wel een slecht punt.
Deze harde schijf is gebruikt om tijdens de overgang van de ene ICT-leverancier naar een andere de gegevens over te kunnen zetten.
Aldus de bron.
Deze harde schijf is gebruikt om tijdens de overgang van de ene ICT-leverancier naar een andere de gegevens over te kunnen zetten.
Aldus de bron.
Wat een rare manier van overzetten van dit soort gegevens, dat gooi je toch direct naar de plek waar het moet wezen, over een beveiligde verbinding?
Dat tante Ria dat zo doet met de vakantiefoto's van de kids kan ik begrijpen, maar medische gegevens :')

Ik denk er serieus over om bij alle medische instanties waar ik ooit geweest ben alles van de afgesloten trajecten/behandelingen te laten vernietigen voordat ze op het idee komen om dingen te digitaliseren, voorzover dat al niet gebeurd is :{ Wat er niet is kan ook niet uitlekken.
Ze moesten het "even" overzetten...

Dit moet inderdaad zorgvuldig gebeuren. Deze informatie is goud waard en moet ook als zodanig behandeld worden.
Ze moesten het "even" overzetten...

Klinkt inderdaad als "even" overzetten en daarna "vergeten" wat er met de schijf gebeurd is.

Anno 2017 niet standaard versleutelen is gewoon incompetent. Als het niet al reeds in de wet staat, zou versleuteling een verplichting moeten zijn.
In de wet staat een algemene bepaling over het correct beveiligen, zie artikel 13 van de wbp.
Zoiets als een excel bestandje met een dump uit de database
Ok, dan snap ik niet dat je na het overzetten de gegevens niet wist.
De ledenadministratie is toch de basis, oude dumps grondig wissen met twee personen erbij.
Die is dus gebruikt en vervolgens terug gekomen en zo de kast in gegaan die schijnbaar niet op slot was?

Althans zo lees ik het dan.
Dan is die ICT leveracier niet ISO en/of NEN gecertificeerd en vraag ik me af wat de patientenfederatie met zo'n toko doet. En anders bij dezen de certificaten intrekken en optieven met je toko.

Dit. Kan. Echt. Niet.
Mooie ICT leverancier als ze nog geen sftp kunnen opzetten.
Gelukkig is het internet veiliger als het overzetten via een harde schijf waar de personen in kwestie naast staan. Het ding is gestolen, zie tekst. Het overzetten via een schijf is technisch niet de slechtste optie (even afgezien dat het waarschijnlijk wettelijk niet mag), het had alleen direct gewist moeten worden
Maar ook op een HDD kun je bestanden encrypted neerzetten. Dat is iig een stuk veiliger.
Met zulke gevoelige gegevens had dit de standaard moeten zijn.
Ik heb voor dit soort dingen een apricorn aegis disk en de echt kritische dingen staan daarnaast ook nog in een truecrypt container.
Bijkomend voordeel is dat je de disk in readonly mode kunt openen en een account met beperkte mogelijkheden kunt aanmaken. en er zijn erg lange verplichte pincodes mogelijk.
Dan moet je bij je werkgever aankaarten dat de policies niet aansluiten op de werkelijkheid en dat je je werkzaamheden niet kan uitvoeren. Niet privacygevoelige gegevens op een schijf zetten. Luistert je werkgever niet? Dan doe jij je werk niet, met verwijzing naar de APG en voor de rest de groeten.
Sterker nog, op mijn werk zijn ze volledig geblokkeerd.
Read only? Hoe stuur je dan het commando welke data je wilt hebben?
Zulke getallen worden altijd afgerond <Ben je gisteren geboren? emoticon>

[Reactie gewijzigd door DenOkster op 24 december 2017 16:10]

Luiheid, onwetendheid, wie weet? Waarom niet beveiligd? moeilijk, totaal geen ict kennis, wie weet? vaak zijn het simpele zielen die dit moeten regelen, geen mensen met daadwerkelijk verstand van zaken.
Gedeeltelijk waar, maar die simpele zielen, zoals jij ze noemt, zijn meestal degenen die zich uit de naad werken om bijvoorbeeld een migratie tijdig rond te krijgen. Dat daarbij niet altijd even zorgvuldig met data wordt omgegaan is niet goed te praten, maar wel te begrijpen. Er is simpelweg geen tijd om alle procedures te volgen die het management heeft uitgedacht. Die dezelfde managers lopen echter wel vaak om klokslag vijf uur de deur uit, terwijl die simpele zielen doorbikkelen, anoniem op de achtergrond. En als het dan een keer mis gaat, zijn juist zij de klos. Enig begrip kan ik er daarom wel voor opbrengen.
Stel dan op zijn minst een policy in als systeembeheerder van zo'n organisatie:
Deny write access to removable drives not protected by BitLocker
Dat is (nu) dan ook ingesteld:
https://www.patientenfede...ijke-vragen-en-antwoorden
Er kan per direct alleen met beveiligde externe gegevensdragers worden gewerkt.
Tja dat is nogal de put dempen als het kalf verzopen is...
Enigszins off-topic, maar die put open laten is natuurlijk al helemaal geen optie. Heel veel meer kan nu niet aan dat kalf worden gedaan.
Mosterd na de maaltijd, helaas... Ik vind dat zulke keuzes zwaar aangerekend mogen worden, anders leren we er nooit van.
Ik zeg helemaal blokkeren die poorten: waarom zouden patientengegevens op externe dragers buiten het primaire systeem gezet mogen worden?
(Hier is ook alles geblokkeerd: toetsenborden en muizen mogen, mass-storage is geblokkeerd, of het nu beveiligd is of niet).
En altijd ligt het aan de managers? Als je hier zelf in meegaat ben je naar mijn idee even "schuldig" als de managers die het beleid bepalen. (en nee, ik ben geen manager)
Helemaal mee eens.

Lakse mensen schuiven hun eigen falen en verantwoordelijkheden altijd op een ieder die ze maar kunnen bedenken af.
Beetje kort door de bocht hoor, nu werk je voor zo'n instantie, hebt net een huis gekocht en een kindje op komst. Je kaart het aan en je manager zegt 'Nou meneer Superkanjo, als jij het niet wilt doen, dan gaan we toch gewoon op zoek naar een ander die het wel wil?', zou je het dan alsnog niet doen? De mensen die hier over gaan moeten verantwoordelijk worden gehouden, niet degenen die het moeten uitvoeren, want die hebben er feitelijk gewoon niets over te zeggen.
Deels met je eens hoor, snap dat het in de praktijk lastig is. Maar altijd alles op de managers afschuiven is ook erg kortzichtig.
Volgens mij valt de eindverantwoordelijkheid inderdaad bij de manager, waarom zou je anders managers aannemen?
"Er is simpelweg geen tijd om alle procedures te volgen die het management heeft uitgedach"

Say what? Dan moet je als uitvoerende een migratie direct cancellen. Niet via vage omwegen alsnog uitvoeren. Als het niet kan volgens de procedures dan kan het niet. Einde verhaal. Amateur ICT'ers die dan roepen "ik heb nog wel een schijf waar het ook op kan" moet je in elke organisatie mijden.
en als dat je baan kost?
Dan heb je tenminste een schoon geweten.

En dan gaat je advocaat daar goed aan verdienen.
Dan is dat sowieso al een bedrijf waar je niet wilt werken. Werknemers ontslaan omdat ze de procedures willen volgen die notabene door het bedrijf zelf zijn opgesteld is wel het meest ridicule wat er is.
"Schaduw IT" is, volgens mij, de correcte benaming.

Het zijn acties die het daglicht in ieder geval niet kunnen verdragen.
Gedeeltelijk waar, maar die simpele zielen, zoals jij ze noemt, zijn meestal degenen die zich uit de naad werken om bijvoorbeeld een migratie tijdig rond te krijgen. Dat daarbij niet altijd even zorgvuldig met data wordt omgegaan is niet goed te praten, maar wel te begrijpen.
Je kunt het misschien wel begrijpen maar het is beter dit niet te willen begrijpen. ;)

Deze flauwekul gebeurt iedere keer weer en dat blijft maar doorgaan omdat een berisping ůf uitblijft, ůf totaal niets voorstelt.
En zoals je zegt zal een straf hoogstwaarschijnlijk ook nog bij de verkeerde persoon terechtkomen, wel zo comfortabel.

Maak de financiŽle straf/prikkel zo hoog dat het wel de moeite waard wordt orde op zaken te stellen, dat is het enige dat dit lakse gekluns gaat verhelpen.
Als zo'n organisatie het vizier niet op scherp heeft en aan de straf failliet gaat dan is dat een prima marktwerking, eerder een zegening dan een drama.
Een beetje? Van een patientenfederatie mag je beter verwachten.
Tja of de informatie voor veel verkocht, ik kijk vandaag de dag nergens meer van op.
"Bij uitzonderingen voortaan alleen nog bij beveiligde schijven en usb-sticks mag."

How about no? Tenzij patiŽnten daar nadrukkelijk toestemming voor hebben gegeven. Mag hopen dat juist de patiŽntenfederatie deze uitspraak nog zal rectificeren.

[Reactie gewijzigd door Flappiewappie op 21 december 2017 21:16]

Maar als het ook niet op beveiligde schijven mag staan, hoe slaan ze dan de gegevens op? ;)

[Reactie gewijzigd door traibergen op 21 december 2017 21:07]

Op, volgens NEN gecertificeerde, servers/opslag. Bijvoorbeeld dat er fysiek gecontroleerd kan worden hoe en wie er bij kan en dat er bepaalde logging plaatsvind.
Daar had ik nog niet over nagedacht.
In de blockchain!! :D
Ja dat is niet openbaar...

Het idee van blockchain is volgens mij juist dat het publiekelijk gecontroleerd kan worden.
ik weet er niet het fijne van, maar volgens mij kun je de data die je meestuurt in de blockchain alleen ontcijferen als je de key bezit
Dat geldt toch ook voor een versleutelde hdd? Alleen moet een dief / hacker daar zowel de versleutelde data te pakken krijgen als de key om het te ontcijferen. Bij de blockchain alleen de key :)
En hopen dat de HDD nog werkt, blijft wel een mechanisch ding uiteindelijk. :)
Een uitgeschakelde HDD kan veel hebben ;) En als de data genoeg waard is, kun je een professioneel bedrijf hem laten recoveren.
Precies. Daarbij, er zijn genoeg manieren om op afstand te werken die wel veilig zijn. Het is wel echt lastig om dit als IT afdeling onder controle te houden, vooral als het management het niet zo nauw neemt met beveiliging.
Nee, gťťn uitzonderingen. Intern houden en hťle strikte toegangseisen erop nahouden, en alle mogelijke logging toepassen wie welke data wanneer en met welke reden nodig heeft.
Bij ons klagen ze al om waarom we USB ports hebben uitgeschakeld op alle surface pro's en laptops.. Allemaal in naam van "veiligheid" ..
Wat jullie niet moeten vergeten dat dit soort knutselclubjes vaak niet over ruime budgetten beschikken. Alles minimaal geoutsourced wordt door management welke vooral andere competenties heeft dan IT. Dus ja dan kunnen dit soort dingen gebeuren.
Daartegenover staat wel dat los hiervan medewerkers zelf ook hun verantwoordelijkheid moeten kennen en sommige data dus daar moeten laten waar het hoort, en mocht dit bij uitzondering nodig zijn dat je na transport de data ook weer wist.
Persoonlijk geloof ik niet in het steeds maar weer verder dichttimmeren van systemen door IT op basis van het feit dat het management geen risico wil lopen. Bedenk wel er moet ook gewerkt kunnen worden. Richt je vooral op het bereikbaar houden van data volgens veilige wegen en niet op het verbieden.
Anders gezegd kijk waarom stond die data op die schijf en waarom was er geen andere oplossing mogelijk. Daarmee bereik je meer dan het verbieden.
Je moet het wel verbieden. Niet elke werknemer heeft de juiste security mindset om zelf de juiste afwegingen te maken, dit ga je er ook niet makkelijk in krijgen. Zelfs de meeste IT-ers hebben de juiste mindset nog niet, daar gaat nog een aantal jaar over heen voordat dit op acceptabel niveau is.

Dus, gewoon verbieden. Er zijn tegenwoordig zat alternatieven. Wijs je werknemers daar op. Is er dan toch reden om even met een usb stick of een externe HD in de weer te gaan, dan laat je dit doen door je IT-personeel. Heel moeilijk is het allemaal niet.
Tuurlijk maar nu moet er toch iets NU gebeuren en dan? Als je het verbied moet je als IT afdeling wel ook zo klantvriendelijk zijn om als je klant (ook intern) iets nodig hebt te helpen met een oplossing en niet mag niet en ook niet we maken er een project van, over 5 dagen ben je aan de beurt. Want met die opstelling is er altijd een creatieveling die het oplost. Dat laatste moet je voorkomen.
Een bedrijf/stichting/vereniging die zijn procedures en beveiliging niet op orde heeft, zou domweg geen persoonsgegevens mogen verwerken. Zeker niet als het om medische informatie gaat. Er zijn heel duidelijke richtlijnen, zeker voor de sector die ook patiŽntgegevens verwerken.

Wat je zegt heb ik ook opgemerkt. Bezemkastservertjes noem ik ze altijd. Wat begint als een contactgroep op Facebook loopt uit de hand, wordt een vereniging of stichting zonder betalende leden of subsidie. Alles bij elkaar geraapt en gesponsord door wat kennissen. Onwetend wat de regelgeving is en adviezen zijn. Zelf ben ik van mening dat hier nog een mooie taak voor de Kamer van Koophandel ligt: Wijzen op de richtlijnen voor dataverwerking in de branche. En nu ook keihard wijzen op de AVG/GDPR.
Ik neem aan dat jij van geen enkele vereniging lid bent of zelf zeer actief om te helpen bij het oplossen van dit soort zaken.
In tegendeel. Maar ik heb het geluk dat deze materie mijn dagelijks werk is en zo mijn steentje bij kan dragen aan de clubs en stichtingen waar ik lid van ben danwel sponsor.
Ik ben het volledig met je eens dat organisaties die hun data beveiliging niet op orde hebben geen persoonsgegevens zouden mogen verwerken, en zeker geen medische gegevens.

Als ik echter het verhaal lees is het voor mij niet duidelijk waar het probleem nu precies ligt. Quote:

"Deze harde schijf is gebruikt om tijdens de overgang van de ene ICT-leverancier naar een andere de gegevens over te kunnen zetten."

Dit statement geeft aan dat deze organisatie hun ICT outsourcen en dus niet zelf beheren. Wat ik me dan ook afvraag is wie beslist dat tijdens het genoemde overgangsproces deze data "eventjes" op een externe schijf opgeslagen moet worden? Is dat de patiŽntenfederatie of is dat de ICT organisatie die ze inhuren?
Als het kalf verdrinkt, dempt men de put...

Tja, waarom zou je vooraf nadenken over beveiliging als je altijd een excuus e-mail sturen kan? Screw de privacy van die 25000 mensen?

Hievoor moet iemand gewoon strafrechtelijk vervolgd (kunnen) worden. Ook de manager die geen beveiliging wilde kopen omdat het tijd en/of geld kost!!
Ik vind vooral het per email verwittigen apart. Bij mij op kantoor verwerken wij ook persoonsgegevens en daar gaat (helaas) ook wel eens wat mis maar wij sturen altijd een aangetekende brief met een omschrijving van het lek en stappen die de betrokkene kan nemen indien hij/zij van mening is dat er bijvoorbeeld schade is geleden. Kost wellicht wat meer moeite maar dan weet je wel dat de betrokkene op de hoogte is en wat voor hen de gevolgen kunnen zijn.
Inderdaad

Hoe vaak komt dit wel niet in het nieuws? Gaan we er nog van uit dat de organisaties die zo achterlijk met persoonsgegevens omgaan het ook aangeven als ze in de fout zijn gegaan.

Losstaande van de wet op de privacy m.b.t. private gegevens,
De strafrechtelijke gevolgen zijn te verwaarlozen voor veel organisaties om goede verplichte protocollen op te stellen om dit soort achterlijke grove nalatigheid (want dat is het gewoon) uit te bannen.
Al vaker gezien helaas, vooral bij beter betaald personeel die nemen de data gewoon mee naar huis omdat ze vinden dat ze dat nodig hebben voor een of ander onderzoek. Niemand houdt ze tegen tenslotte. Zelfs al weten ze niks van beveiliging.
Jammer dat een bedrijf niet even twee ton boete krijgt of aangeklaagd kan worden door elk slachtoffer. Alleen dan zul je betere beveiliging zien.
“Niemand houdt ze tegen”? Een fatsoenlijke ICT afdeling wťl. Beetje nadenken over policies en afdwingen van VPN’s en audits over waar je bestanden zijn. Kost wat, maar een boete kost mťťr.
Kan je zo'n firma aansprakelijk stellen voor onzorguldigheid?
onzorguldigheid zie ik ook als een onzorgvuldigheid

:9
:D. TIkfout. My bad. Maar zonder dollen. Stel dat je behoort tot 1 van die patienten, en je gegevens komen letterlijk op straat te liggen, dan kan je zo'n firma toch aansprakelijk stellen?
Er is vooralsnog alleen sprake van vermissing en niet van misbruik.
Dan word het moeilijk de instantie/ het bedrijf aan te klagen. Op basis waarvan wil je (juridisch gezien) aangifte doen?
Vermissing opzich is al een risico. Het hoeft maar 1x in de verkeerde handen te vallen, die gegevens.
Alleen is ons wetsysteem gelukkig niet zo gebouwd dat je enkel op basis van risico's mensen/personen aansprakelijk kan stellen.
Dat kan, alleen moet je aantonen welke schade je hebt geleden en dat is lastig als er nog niet daadwerkelijk iets is gebeurd met jouw gegevens.
Beetje “bezemkastconfiguratie”, servertje in een kastje, backup (meestal een xcopy kopietje) op een usb diskje, paar pc’tjes en een printer. Typisch MKB netwerkje dat niet teveel mag kosten maar de belangrijkste, zo niet enige tooling is. Veiligheid is wel bespreekbaar maar “kost teveel” en er is nog nooit iets gebeurd. Tot er iets gebeurt... Ik leg het altijd maar uit als een verzekering: Je hebt het niet nodig, totdat je het nodig hebt. En als er dan een directeur is in een leuke lease-bak, is het vergelijk van ťťn maand die auto hetzelfde kost als een nieuwe pc die vijf of meer jaar gebruikt wordt.

Met de komst van de AVG/GDPR is er in ieder geval bij veel MKB een stukje bewustwoording aan het ontstaan. Maar ook daarvoor veelal dezelfde insteek: We zien wel als er wat gebeurt. Echt verbazingwekkend af en toe.
Een citaat uit hun privacy verklaring.

"De verwerking van de
persoonsgegevens is conform de Wet bescherming persoonsgegevens (WBP) gemeld bij de
Autoriteit Persoonsgegevens (AP)"

Dan mag je toch een heel stuk meer veiligheid verwachten.
Dan zoveel gegevens opslaan op een externe HDD.
Vraag mij zo wie zo eigenlijk af waarom je dat zou doen.
Dit hoort gewoon via de meest beveiligde manier te gebeuren.
Ik kan hier met mijn pet simpelweg niet bij. Hoe vaak moet dit nog gebeuren voordat bedrijven (zeker in dit soort sectoren) eens na gaan denken over goede beveiliging.

Moeten er nog echt straffen uitgedeeld worden voordat mensen hun zaken goed gaan regelen? Dit is toch van de zotte. En dan gaan de eindgeberuikers wat mij betreft nog wel een soort van vrijuit. Je krijg een systeem en gaat er van uit dat het veilig is. Maar degene die het systeem maakt en goedkeurt, en de regie-hebbenden, mogen wat mij betreft flink aangepakt worden.
Hoe krijg je het toch in hemelsnaam voor elkaar om niet op zn minst encryptie op zo’n schijf te hebben.

Ach. Met de GPDR in aantocht worden dat leuke boetes en kan zo’n knutselclubje gelijk opdoeken. Het probleem lost zichzelf wel op op die manier.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True