Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse privacywaakhond liet namen van personeel via documenten uitlekken

De Autoriteit Persoonsgegevens heeft via pdf's die de waakhond publiceerde, zelf te maken gehad met een datalek. De privacywaakhond gaf met de publicatie onbedoeld de namen van personeelsleden vrij, wat tegen het beleid van de AP indruist.

De namen van personeelsleden waren inzichtelijk via achthonderd documenten die de Autoriteit Persoonsgegevens publiceerde, ontdekte het beveiligingsbedrijf NFIR, oftewel Nederlandse Forensische Incident Response.

De Autoriteit Persoonsgegevens meldt uit privacyoogpunt officieel nooit de namen van medewerkers die bijvoorbeeld onderzoek doen of rapporten opstellen. NFIR heeft de dienst ingelicht over het datalek, die daarop alle desbetreffende pdf's aanpaste.

De Autoriteit Persoonsgegevens heeft zijn personeelsleden van het lek op de hoogte gesteld.

Door Olaf van Miltenburg

Nieuwscoördinator

16-03-2018 • 13:06

47 Linkedin Google+

Submitter: AnonymousWP

Reacties (47)

Wijzig sortering
Even ter informatie: het ging hier om 800 PDF'jes waarbij in de metadata te zien was door wie het document gemaakt was.

Bron: https://www.nu.nl/interne...-namen-van-personeel.html (woordvoerder van het NFID had een interview met nu.nl, dus staan er wat meer details in dat artikel).

Verder wordt er geen boete gegeven. Ik citeer nu.nl:
Bedrijven zijn in Nederland wettelijk verplicht om melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Ditmaal is de organisatie zelf door zo'n lek getroffen. "Bij datalekken geldt een vaste procedure die voor alle organisaties geldt, ook voor ons", zegt Gras.

Dit specifieke datalek valt volgens Gras echter niet onder de meldplicht. "Een datalek moet worden gemeld als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt."

[Reactie gewijzigd door AnonymousWP op 16 maart 2018 13:26]

Mijn gemeente lekt ook namen via PDF bestanden, dat is toch geen data lek? Dat is gewoon publieke informatie die je ook via bijv. een WOB verzoek kan opvragen of desnoods via LinkedIn

[Reactie gewijzigd door GrooV op 16 maart 2018 14:15]

WOB kun je stukken opvragen maar dan hoeven geen namen van medewerkers in te staan die niets met het stuk te maken hebben maar het bijv alleen getypt hebben.
Linkedin is iets dat je zelf doet en zelf aangeeft waar je werkzaam bent, of dit gebeur in overleg met een werkgever als het onderdeel kan zijn van je functie.

Maar het lek is idd beetje overdreven als er alleen de naam in staat van de persoon.
Dat is niet overdreven.
Bij iedere organisatie verstrekte gegevens mogen die gegevens alleen gebruikt worden waarvoor ze zijn aangeleverd.
In dit geval alleen ter informatie voor de personeelsafdeling.

Natuurlijk is het geen groot lek, maar natuurlijk erg onhandig als jezelf de gegevens van mensen poogt te beschermen.

Maar ja. Waar mensen werken worden fouten gemaakt.
Het zijn dan ook de mensen zelf die niet opletten bij het opslaan van een word document bijv. en de auteursnaam erin laten staan die onder de bestandsnaam wordt opgegeven. Het is hooguit de schuld van de organisatie dat er geen fatsoenlijk documentmanagement systeem gebruikt wordt die deze tags filtert alvorens het beschikbaar te maken voor uploads. Het is denk ik ook vooral te wijten aan de onwetendheid van de gebruiker over het softwarepakket waar het in werkt. Aan de andere kant is het ook meer een bedrijfsbeleid dat hiermee geschonden is. Er zijn genoeg bedrijven te vinden die op hun website met foto en verhaal aangeven wie er werken en zover ik weet is dat ook niet tegen de wet-/regelgeving.

[Reactie gewijzigd door mrdemc op 16 maart 2018 18:57]

Er zijn genoeg bedrijven te vinden die op hun website met foto en verhaal aangeven wie er werken en zover ik weet is dat ook niet tegen de wet-/regelgeving.
Dat mag inderdaad, maar alleen indien de desbetreffende personen daar ondubbelzinnig toestemming voor hebben gegeven. Dat betekent dus dat een bedrijf iedere medewerker waarvan ze gegevens willen publiceren moeten vragen of dat mag (inclusief exact welke gegevens ze willen publiceren) en dat die medewerkers dan expliciet ja moeten hebben gezegd. Wat bv niet mag is publiceren tenzij de medewerker bezwaar maakt. Het moet een opt-in zijn, opt-out is hier niet toegestaan (is nl niet ondubbelzinnig).
Ah de werknemers waren via de metadata te vinden. Het artikel hier dekt dan niet helemaal de lading. Ik vrees dat op die manier de meeste bedrijven informatie over hun werknemers lekken. (Bij ons schonen we de word/powerpoint/excel/pdf metadata echt niet op). Maar hier is de privacywaakhond ook een stuk strenger dan gewone bedrijven, waar ze niet de werknemersnamen geheim houden.
Zou jij document zonder herkomst of naam auteur vertrouwen?

Zonder bron is herkomst niet na te gaan.

Vind dit artikel van kaliber likmevestje.
Flauwekul. Je kan natuurlijk een willekeurige naam opgeven in dat metadatveld, dus het is sowieso geen betrouwbaar stukje data.
Ik vind hetzelfde en meer; als je achter een onderzoek staat, zet je als onderzoeker je naam eronder.. Maarr; aangezien de controlerende functie kan ik me (in dit geval) goed voorstellen dat je personeel afschermt van mogelijke beinvloeding, zoals bedreiging, omkoping(, spionage?)..
(vergelijkbaar met opsporings diensten, politie en mogelijk meer ambtenaren)
In zulke gevallen wil je ook de meta-data schoonmaken.. heel goed dat ze hebben ingegrepen en alleen de naam vh instituut erboven prijkt dus.
Proces verbaal bevat ook naam ambtenaar.

Rechtspraak.nl staan ook de namen van rechter, griffier en advocaten.

Als middel tegen corruptie, afpersing werkt het niet.

Immers via wob of directe communicatie weet men meteen wie of wat.
Proces verbaal bevat ook naam ambtenaar.
Dat is dan ook in de wet vastgelegd dat dit moet. Datzelfde geld voor rechtbankdocumenten zoals uitspraken van rechtszaken.

Voor documenten die een willekeurig bedrijf/instantie publiceert bestaat zo'n verplichting niet en geldt dus de wbp. En die verbied het verder verwerken/publiceren van persoonsgegevens.

Nu zijn er natuurlijk wel situaties waarbij publicatie van persoonsgegevens zinnig of zelfs noodzakelijk is. In sommige situaties is dat per wet geregeld (in patenten worden bv de namen van alle uitvinders gepubliceerd) en in andere situaties word dit via contract geregeld (bv. bij publiceren van wetenschappelijke artikelen; daar staat in de voorwaarden van iedere uitgever een clausule dat je naam, affiliatie(s) en evt. e-mail adres in de publicatie worden opgenomen).
Leggen ze zichzelf nu ook een boete op? 8)7

Slordig maar waar gewerkt wordt, worden fouten gemaakt. Vraag me af of hier nog nadere acties op volgen...

[Reactie gewijzigd door LollieStick op 16 maart 2018 13:09]

Ze delen op zich alleen boetes uit als ze datalekken niet op tijd melden, dat hebben ze hier dus sowieso wel gedaan. Ten tweede hoefte ze de datalek niet te melden omdat alleen de naam van een persoon niet genoeg is om iemand zijn privacy te schenden. Omdat het hier om de AP zelf gaat hebben ze dat toch wel publiek gemaakt, omdat het belangrijk is voor een bedrijf als de AP om open te zijn.

Het zou slordig zijn als de AP een lek geheim houdt en iemand hier later achterkomt, ook al hebben ze het niet voor de wet hoeven te melden.

[Reactie gewijzigd door NotCYF op 16 maart 2018 13:35]

Je eerste punt is pertinent onjuist. Dat men heeft voldaan aan een bepaalde meldplicht vrijwaart een onderneming/publiekelijk orgaan niet, en maar goed ook. Dat zou hele verkeerde implicaties hebben ;) (bewust roekeloos, maar wel op tijd melden, geen boete?...) Hoewel na een datalek er in bepaalde gevallen een meldplicht bestaat (risico op nadelige gevolgen) houdt hier de verantwoordelijkheid op. Zo moet de verwerkingsverantwoordelijke in die gevallen er ook zorg voor dragen dat ze maatregelen hebben getroffen om eventuele verdere schade te voorkomen en in geval van hoog risico dienen ze ook de betrokkene(n) te informeren. Verder zal de AP bekijken of er wel genoeg maatregelen waren getroffen door de verwerkingsverantwoordelijke om een datalek te voorkomen, bijvoorbeeld 'passende technische maatregelen en beleid (= AVG compliance). Verder is het belangrijk te vermelden dat de nieuwe regels pas 25 mei dit jaar ingaan , de meldplicht datalekken kennen we al sinds 2016. Voor het eerste stuk in mijn betoog ga ik trouwens uit van de situatie vanaf 25 mei 2018 :)

[Reactie gewijzigd door WouterL op 16 maart 2018 15:44]

Daar doelde ik op. Je kan een bedrijf niet de schuld geven als iemand een server hackt. Alles is te hacken als bedrijven hier voor gestraft zouden worden zou dat een beetje raar zijn. Lek dichten is alles wat je er echt aan kan doen.

[Reactie gewijzigd door NotCYF op 18 maart 2018 04:20]

Uiteraard, werkt twee kanten op. Enerzijds kun je een bedrijf niet direct straffen voor iets waar zij alles aan hebben gedaan om het te voorkomen (lig passend), maar anderzijds kan een bedrijf niet simpelweg stellen we konden er niks aan doen alles is te hacken :)
Ik ben zelf zijdelings bij wat meldingen van datalekken betrokken geweest. Met "slordig maar waar gewerkt wordt, worden fouten gemaakt" haal je het nu al niet, in elk geval niet bij gemeenten. Er is niet veel voor nodig om de opdracht te krijgen een hele analyse van het incident te moeten maken, inclusief gedetailleerd plan om herhaling te voorkomen. En dat moet dan ook nog binnen een zo kort mogelijke termijn zijn uitgevoerd.
@BasieP@nofearnl Nee, er wordt geen boete gegeven. Ik citeer nu.nl:
Bedrijven zijn in Nederland wettelijk verplicht om melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Ditmaal is de organisatie zelf door zo'n lek getroffen. "Bij datalekken geldt een vaste procedure die voor alle organisaties geldt, ook voor ons", zegt Gras.

Dit specifieke datalek valt volgens Gras echter niet onder de meldplicht. "Een datalek moet worden gemeld als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt."

[Reactie gewijzigd door AnonymousWP op 16 maart 2018 13:26]

Noemen we dit al een datalek? Come on... |:(
Ja, dit kan een data lek zijn. Sommige bedrijven willen, om verschillende redenen, geheim houden wie er documenten geschreven of gepubliceerd heeft. Als die data toch naar buiten komt kan dat aanzien worden als een datalek. Ik vind het dan ook positief dat de AP hier schuld bekent en tevens ook demonstreerd dat zelfs zulke kleine dingen een lek kunnen zijn.

Het is niet voor niets dat bij ons in de firma bij uitgaande emails automatisch de metadata uit documenten wordt verwijderd.
Niet alleen dat, maar er zijn ook aardig wat pakketten waar tegenwoordig de optie om de geschiedenis en bewerkers van een document automatisch op te schonen.
Dit kan in Office, maar ook in Adobe.

@JorzoR
Het beleid van de privacywaakhond is dus om deze data niet mee te sturen. Als het dus wel gebeurd, is het tegen het beleid in en dus een data lek.
Het is niet voor niets dat bij ons in de firma bij uitgaande emails automatisch de metadata uit documenten wordt verwijderd.
Goed idee. Ik vraag me eigenlijk af of dit niet verplicht zou moeten zijn. In veel organisaties word in de metadata standaard de naam van de opsteller van een document ingevuld zoals ook bij de AP is gebeurd. Door deze data er standaard uit te filteren voorkom je dat die gegevens op straat komen te liggen. Dit zou je kunnen zien als een gepaste technische maatregel conform artikel 13 van de wbp.

Indien je hetzelfde ook doet met de geschiedenis van een document kan dat in sommige situaties ook nog eens helpen met het beschermen van vertrouwelijke informatie.
personeelsdata die je als bedrijf geheim wil houden die dan massaal kan worden gevonden in je publieke data, wat denk je zelf?
Een data lek is een lek als je daarvoor belooft hebt de informatie privé te houden.
foutje, laat maar.

[Reactie gewijzigd door Enantiomeer op 17 maart 2018 03:59]

Jeugdsentiment:
Toen ons bedrijf begin jaren negentig op internet actief werd, en er we het begrip spam nog niet kenden, was het leuk om de email adressen van alle medewerkers bekend te maken.
Er toen het idee: leuk kunnen we met de hele wereld communiceren, informatie uitwisselen etc. Naïef, maar zo was het in het begin.
Dat hebben we later geweten, lijsten met al onze e-mail adressen kwamen jaren later op spamlijsten terecht.
Ander jeugdsentiment:
Vroeger had je de PTT telefoongids, en kon je iedereen opzoeken, soms om te bellen, maar soms om adres te weten te komen. Iemand die daar niet op wilde moest een geheim nummer aanvragen.
Nu zou de PTT schriftelijk bevesitiging moeten vragen of ze je nummer mogen opnemen, en nog een keer voor je adres.

<opa mode>Ik vond het vroeger leuker, zoals we met elkaar omgingen</opa mode>
Ik vind het opzich wel belachelijk dat in deze tijd van communicatie, het in contact komen met mensen die hun telefoonnummer of adres niet toevallig ergens hebben staan, al bijna ondoenlijk is. Daar ligt ergens de grens tussen privacy en kluizenaarschap.
Via https://keybase.io kan je al je internet accounts aan elkaar koppelen, en cryptografisch je identiteit bevestigen, waarna iemand die een van je accounts kent je gerust secure kan bereiken via mail of een ander internet platform.

Maar idd, mensen die hier niet aan meedoen vallen soms moeilijk te vinden.

Het leuke aan keybase vind ik is dat je hier veel mensen vind die privacy en geencrypteerd communiceren heel belangerijk vinden, maar wel publiek al hun accounts gaan linken zodat je net zeker kan zijn wie zei zijn. (Voordeel is dan wel dat wanneer een andere persoon zich probeert voor te doen als u dit minder makkelijk geloofd wordt)
Waarom zou je dat doen? Vraag het gewoon aan Google, Apple of MS, die hebben in hun databases al jouw internet accounts al gekoppeld. Waarom zou je daar zelf nog de moeite voor nemen? :+
Vroeger had je de PTT telefoongids, en kon je iedereen opzoeken, soms om te bellen, maar soms om adres te weten te komen. Iemand die daar niet op wilde moest een geheim nummer aanvragen.
Nu zou de PTT schriftelijk bevesitiging moeten vragen of ze je nummer mogen opnemen, en nog een keer voor je adres.
De variant ervan bestaat nog steeds. Mijn buren en ik staan gewoon vermeld in de gemeentegids en ik kan mij niet heugen dat daar ooit goedkeuring voor gevraagd is.
Overigens vind ik mn adres ook bij 'omgekeerd zoeken' op telefoonnummer op het internet.

Maar gebeld worden, ho maar.. ;)
Een van de redenen om tegen de sleepwet te stemmen 8)7
Laat even weten wat de relatie tussen dit lek en de sleepwet is, die ontgaat mij namelijk een beetje.

<ontopic>
Verder erg slordig van de AP, waarbij ze anderen op de vingers tikken voor datgene waar ze zelf geen rekening mee gehouden hebben. Ook vreemd dat de NFIR er pas als eerste mee komt. Deze documenten zijn vast niet gisteren pas verschenen.
</ontopic>
Zie andere reacties: als zelfs de privacywaakhond al de fout ingaat, hoe kunnen we dan andere overheidsinstellingen die zelf nog minder belang hebben bij onze privacy nog vertrouwen?
Dat is het verschil tussen een bewuste actie en een onbewuste actie.
Deze "lek" is een onbewuste actie.
Kun je prima los van de sleepwet zien.
Natuurlijk kun je het er los van zien, maar je kunt het met evenveel of meer recht ook als samenhangend zien.

Dat kan heel letterlijk: een computer van een sleepwetgebruikende instantie kan een lek vertonen. Dat is ook onbewust maar ondertussen liggen precies die gegevens van de burger op straat die niet eens verzameld zouden zijn als die wet beter dichtgetimmerd was.

Ook kan het iets minder letterlijk samenhangen. Als het een dienst die zeer secuur is op gegevens, al niet lukt om de eigen gegevens binnen te houden, hoe kun je dan verwachten dat een dienst die andermans gegevens massaal verwerkt en onderling deelt niet ooit een keer een steek laat vallen. Bewust of onbewust.
Wat heeft dit te maken met de sleepwet?
Nou dat zelfs de "privacywaakhonden" persoonsgegevens niet veilig kunnen houden
Ik ben het met je eens, dit geval is zeer illustratief. Er zijn weinig organisaties op de wereld die zich meer met dit onderwerp bezig houden als de AP. Als het bij het AP al fout gaat, dan weet je dat de rest van de wereld kansloos is.

Dat is geen nieuws voor wie al wat langer in de softwarewereld rondloopt maar dat beseft dringt daar buiten nauwelijks door. Daar blijft het algehele gevoel bestaan dat het allemaal wel meevalt, dat het om kinderziektes gaat en/of dat we gewoon een beetje vertrouwen moeten hebben dat het in de toekomst allemaal wel goed komt. Bij beveiliging denken ze aan een kasteel met een schatkist diep onder de grond, dikke lagen steen en bewapende wachters. Als het niet veilig genoeg is dan graaf je nog een extra gracht of zet je nog een extra hek op en dan is het wel goed. Er is typisch één weg van buiten naar binnen en die kun je eenvoudig controleren.
In de ICT werkt het typisch niet zo. Het is Informatie én Communicatie Techniek. Dat communiceren is van wezenlijk belang. Zo'n beetje alle ICT is gekoppeld aan de buitenwereld. Informatie verspreiden is het primaire doel van dergelijke systemen. Alles hangt aan elkaar. Wie eenmaal ergens een gaatje vindt kan makkelijk de hele schat meenemen.

De beste manier om data veilig te houden is deze niet te verzamelen. Van de ene kant is het heel handig dat je tekstverwerker automatisch metadata aan een bestand toevoegd, maar het is van de andere kant ook een extra belasting. Het is weer een stukje informatie extra dat je in de gaten moet houden en/of beveiligen. Dit is maar een klein stukje, maar alle kleine stukjes samen zijn enorm groot. Zo groot dat de meeste organisaties er eigenlijk niet mee om kunnen gaan.
Bij beveiliging denken ze aan een kasteel met een schatkist diep onder de grond, dikke lagen steen en bewapende wachters. Als het niet veilig genoeg is dan graaf je nog een extra gracht of zet je nog een extra hek op en dan is het wel goed. Er is typisch één weg van buiten naar binnen en die kun je eenvoudig controleren.
Mooie manier van het te verwoorden. En voor veel mensen zal het inderdaad zo zijn dat ze het zo bekijken in hun hoofd.

De werkelijkheid word beter beschreven door een analogie te trekken met een spinneweb; vele paden die naar het centrum leiden en die moet je als spin allemaal afschermen; een hels karwei wat alleen maar steeds lastiger word omdat het (world wide) web steeds gecompliceerder en groter word met dus steeds meer paden.
8)7 indeed.

Anyway: Ze zijn altijd heel agressief tegen bedrijven die gegevens lekken en er wordt altijd direct met boetes en dreigementen gegooid.
Ik ben benieuwd of ze zichzelf ook gaan beboeten
Waar baseer je dat op? Volgens mij zijn ze helemaal niet zo agressief en boetes waren een paar maanden geleden in ieder geval nog niet uitgedeeld:
nieuws: AP: boetes geven voor datalekken is tot nu toe niet nodig geweest
Tja, het is leuk dat het de waakhond betreft maar verder is het een storm in een glas water. Er was zichtbaar door wie een bepaald document geschreven was. Echt heel spannend is dat ook weer niet...
Jezelf een boete geven? Stink naar witwas praktijken! :+
"Goedemiddag ik wil een kleine datalek melden ..."
"Bij welke instantie heeft u dit geconstateerd?"
"Ehhh...."
Misschien is dit incident wel illustratief voor de vergaande regeltjes en keerzijde van wat we aan de andere kant willen. Want willen we niet dat een medewerker zicht verantwoordelijk voelt voor zijn werk en deze verantwoordelijkheid ook neemt. Waarom moeten we ons dan steeds vanuit een schijn argument als privacy verhullen achter anonimiteit? Als je iets geschreven hebt en je staat er volledig achter waarom dan niet je naam eronder zetten.
Ik weet wel waarom omdat je anders te gemakkelijk van uit eenzelfde annonimiteit bedreigd wordt. Misschien is het tijd om privacy op te heffen zodat een ieder aanspreekbaar is op zijn of haar handelen.
Hoe vaak wordt privacy niet gebruikt om min of meer illegale praktijken te verhullen?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True