'Veel beroepsregisters geven persoonsgegevens vrij'

Beroepsregisters voor onder andere de zorg, horeca, industrie en strafrecht geven veel meer persoonsgegevens vrij dan nodig, waardoor misbruik op de loer ligt. Onder andere bij het BIG-overheidsregister van zorgverleners was dit het geval.

Beveiligingsonderzoeker Sjoerd van der Hoorn, analyseerde in 2017 op twee momenten in totaal achttien beroepsregisters. Dit zijn registers waar werkgevers en klanten in kunnen kijken om te controleren of professionals in de zorg, horeca, industrie of het recht over de juiste competenties en diploma's beschikken.

Zijn van de gezochte persoon gegevens op te vragen, dan is dat een aanwijzing dat het om een partij gaat die te vertrouwen is. Onder andere voor verpleegkundigen, diëtisten, asbestverwijderaars en horecapersoneel zijn er van die databanken, terwijl ook het register van de Kamer van Koophandel en het insolventieregister als zodanig zijn aan te merken. Volgens de NOS geven daarnaast drie databases voor het chippen van huisdieren persoonsgegevens van baasjes vrij, zoals die van de organisaties NDG en Backhome Club.

In principe gaat het om openbare registers, waarin een enkele persoon gezocht kan worden. Bij veel registers zijn echter gegevens van veel meer mensen op te vragen, als bijvoorbeeld op postcode gezocht wordt. Daarnaast accepteren veel databanken zoeken met jokertekens zoals * of %, waarmee met een zoekopdracht hele reeksen op te vragen zijn, zoals van mensen die op een bepaalde dag geboren zijn.

Dit opent de weg naar scraping, met het risico op phishing, spam, profilering en ander misbruik van dien, stelt de onderzoeker. Met name bij zorgregisters zouden de gegevens relatief vaak tot privépersonen te herleiden zijn, waarbij de onderzoeker verwijst naar het BIG-register.

Het BIG-register wordt gebruikt voor de registratie van zorgverleners. Dat kunnen apothekers, artsen, fysiotherapeuten, gezondheidszorgpsychologen, psychotherapeuten, tandartsen, verpleegkundigen en verloskundigen zijn. Volgens de website zijn er meer dan 350.000 zorgverleners geregistreerd. Registratie brengt met zich mee dat de personen de beschermde titel mogen dragen. Het CIBG is verantwoordelijk voor het beheer van het BIG-register en andere registers, zoals het Donorregister.

Volgens de onderzoeker was het tot 2017 mogelijk om persoonsgegevens van zorgverleners met behulp van het register te achterhalen, bijvoorbeeld naw-gegevens, gegevens van de werkgever, telefoonnummers, en e-mail-adressen. Dat zou nu teruggebracht zijn tot geslacht en geboortedatum. De onderzoeker stelt dat in het verleden de mogelijkheid bestond de integrale database te bemachtigen.

"De meeste organisaties onderkenden dat er sprake is van een lek en hebben hierop hun register zo aangepast dat er geen inbreuk op persoonsgegevens meer kan worden gemaakt", schrijft de onderzoeker, die daaraan toevoegt dat sommigen bestreden dat er sprake is van een probleem. Zo stelde het CIBG volgens hem dat er nooit sprake is geweest van de mogelijkheid om naw-gegevens of geboortedata van zorgverleners via het BIG-register te achterhalen en dat een datalek daardoor onmogelijk is.

Niet elk register gaf gegevens eenvoudig vrij. Bij die van de Stichting Vakbekwaamheid Horeca was dat niet het geval omdat achternaam, tussenvoegsels, voorletters, geslacht én geboortedatum exact overeen moeten komen bij het zoeken.

Naam van onderzocht register	Url	Soort gegevens	Hoeveelheid gegevens
AGB-register	agbcode.nl	Voorletters, achternaam, geslacht, postcode van woonadres, geboortedatum, opleidingen.	179.000
BIG-Register	bigregister.nl	Initialen, achternaam, geboortedatum, huisadres, beroep, werkadres, tel-nummer, e-mailadres..	350.000
Bureau Wbtv	bureauwbtv.nl	Voornaam, achternaam, geslacht, privételefoonnummer, e-mailadres, geboortedatum, geboorteland, huisadres, postadres	6000
Centraal Insolventieregister	insolventies.rechtspraak.nl	Voor- en achternaam, geboortedatum- en plaats, en woonadres	4000
Dekra	dekra-certification.nl	Initialen, achternaam en certificaatnummer	60.000
Geoportaal van Overijssel	geoportaaloverijssel.nl	Sociale status van bewoners
Kamer van Koophandel	kvk.nl	Naam en adresgegevens	550.000
Kwaliteitsregister Jeugd	skjeugd.nl	Voorletters, achternaam, woonadres, werkplaats en geboortedatum	28.171
Kwaliteitsregister Paramedici	kwaliteitsregisterparamedici.nl	Voornaam, initialen, geboortedatum, geslacht, specialisatie, werkgever	19.000
Kwaliteitsregistratie en Accreditatie Beroepsbeoefenaren in de Zorg	kabiz.nl	Voornaam, initialen, geboortedatum, geslacht, specialisatie, werkgever	8500
Nederlandse Vereniging van Diëtisten	nvdietist.nl	Naam, werkadres, telefoonnummer, e-mailadres	3000
Register Niet-destructief onderzoekers	hobeon.nl	Initalen, achternaam en geboortedatum	2000
Stichting Certificatie Asbest	ascert.nl	Initialen, achternaam, geboortedatum, geboorteplaats, geboorteland en taal	9000
Stichting Samenwerken Voor Veiligheid	vca.nl	Initialen, achternaam en geboortedatum	1.500.000
Stichting Vakbekwaamheid Horeca	svh.nl	Geen tekortkomingen vastgesteld	700.000
SVK-register	svkregister.nl	Voornaam, achternaam en geboortedatum	300
Vereniging van Oefentherapeuten Cesar en Mensendieck	vvocm.nl	Voornaam, achternaam, privé email en telefoonnummers	1300
Verpleegkundigen & Verzorgenden Nederland	venvn.nl	Achternaam, geboortedatum en werkgever	88.336

IT-banen

Reacties (98)

Jw_vdB 10 mei 2018 13:20

De kop klopt niet:

"Beroepsregisters voor onder andere de zorg, horeca, industrie en strafrecht geven veel meer persoonsgegevens vrij dan nodig".
In de tabel staat toch echt dat bij de SVH géén tekortkomingen zijn vastgesteld. Nota bene als enige van de opgenomen beroepsregisters.

Niet Henk 10 mei 2018 09:39

Dat stukje over het BIG-register klinkt nogal dramatisch. Standaard worden alleen de volgende gegevens vrijgegeven: Achternaam, initialen, geslacht, en het beroep waarvoor de zorgverlener geregistreerd staat (dit hoeft niet gelijk te zijn aan het beroep wat hij/zij uitoefent). Via de API kan je daar ook een geboortedatum bij krijgen.

Als er een maatregel opgelegd is, wordt soms ook de laatst bekende woonplaats vermeld, en de duur van de maatregel. Afhankelijk van de maatregel, kan dit na een bepaalde tijd weer verwijderd worden.

Als ik kijk naar revisies van de API waarmee je gegevens kan opvragen bij het BIG register, staat dat sinds december 2014 start- en einddatum, telefoonnummer en e-mail niet meer op te vragen zijn. Sinds januari 2016 worden ook de werkadressen niet meer doorgegeven.

Deze journalist laat ook op zijn site een proof-of-concept zien waarbij alleen de geboortedatum als extra gegeven die niet standaard zichtbaar is naarboven komt.

Link: handleiding API.

Met deze andere diensten heb ik geen ervaring, maar als de informatie even juist is als die over het BIG-register, dan zou ik serieuze kanttekeningen bij dit artikel gaan maken.

harrytasker @Niet Henk • 10 mei 2018 09:59

Waarom zoveel moeite doen? Gewoon het kadaster raadplegen

Persoonsgegevens bij Kadaster zijn onbeschermd:
https://www.eigenhuis.nl/...ren-onbeschermd-op-straat

supersnathan94 @harrytasker • 10 mei 2018 12:23

Ik zat te wachten op zo’n reactie. Helaas is dit weer en typisch stukje eenzijdige RTL berichtgeving waar geen nuance in aangebracht is. Het kadaster heef namelijk zelf met RTL gesproken, maar niets daarvan is overgenomen in het artikel. Misschien helpt het je om te weten dat het kadaster niet heel veel kan daar het wettelijk verplicht is om de volledige data te verstrekken zoals opgenomen in bijvoorbeeld hypotheek akte. Dingen weglaten of verwijderen kan en mag niet.

https://www.kadaster.nl/-...heid-van-persoonsgegevens

Arietje @supersnathan94 • 10 mei 2018 13:50

Dit hele onderwerp gaat over wet- en regelgeving rondom privacy. Met de AVG wordt iedereen verplicht hier orde op zaken op te stellen. Laat de overheid dan ook zijn eigen kadaster wet aanpakken.

Atomsk @Arietje • 10 mei 2018 14:29

Tja, maar wat valt er dan aan te pakken? Ongetwijfeld zullen veel huiseigenaren vinden dat hun naw gegevens en de hoogte van hun hypotheek privé is. Totdat ze zelf een ander huis zoeken en dan wel graag de prijsontwikkeling willen inzien én zeker willen weten dat degene die verkoopt ook echt de eigenaar is.

Er zou wellicht wat beter voorlichting kunnen plaatsvinden. M'n vorige bovenbuurman was bijv. erg boos toen ik hem opbelde: hij wist niet dat z'n telefoonnr in een bedrijvengids op internet stond, omdat hij een KvK inschrijving had.

Gwaihir @Atomsk • 10 mei 2018 15:22

Ik vind het eerlijk gezegd maar vreemd dat we die gegevens van huis en hypotheek zo in kunnen zien. De daadwerkelijke handelingen op dit vlak verlopen verplicht via de notaris, die al de plicht heeft te controleren (o.a. dat hij daadwerkelijk met de verkopende eigenaar van doen heeft). Volstaat toch ook als slechts de notaris hier toegang tot heeft?

Neoldian @Atomsk • 10 mei 2018 15:25

Prijsontwikkeling van een woning kan zichtbaar gemaakt worden, zonder persoonsgegevens te verstrekken.

En als je een woning gaat kopen, zul je nog altijd naar de notaris moeten voor een akte. Die controleert zo zorgvuldig mogelijk of koper en verkoper legitiem zijn.

[Reactie gewijzigd door Neoldian op 23 juli 2024 01:43]

Verwijderd @Atomsk • 10 mei 2018 15:27

De hoogte van hun hypotheek kan je niet zien. Wel de koopsom van het huis.

Maar goed, inderdaad wat @Arietje zegt, laat de overheid ook hun dingen op orde brengen. Het heeft niet zoveel zin als die ook 20 miljoen (of 4% van hun jaaromzet) boete gaan krijgen, want dat is allemaal belastinggeld.

Het verplicht je BTW-nummer op je website moeten zetten is voor eenmanszaken en VOF's ook absoluut niet veilig. Want dat is je BSN-nummer met B01 erachter. Uiterst identitietsfraude-gevoelig dus.

En de .com whois gegevens mag ook wel eens iets minder weggegeven. De contactpersoon bij een .nl registratie bij de SIDN mogen ze ook wel weglaten (tenzij de houder een persoon is, want dan weet ik het ook even niet meer).

FJB @Atomsk • 10 mei 2018 15:25

Nuancering: de notaris is een verplichte stap in de (ver)koop van een huis, en die is verantwoordelijk voor de controle of iemand idd de eigenaar is, en of er nog een hypotheek op het pand rust

mbb @Atomsk • 10 mei 2018 18:00

Als je contact hebt met de koper, zal die het kadaster toch wel willen machtigen om je toegang tot de gegevens te geven? Dus dan ligt de keuze en beperking bij de verkopende partij, ipv het kadaster om iedereen inzicht te geven.

Verwijderd @mbb • 11 mei 2018 14:38

Het is niet een kwestie van willen machtigen of niet. Het kadaster heeft die gegevens al zo lang als ik weet openbaar. Voor een paar euro krijg je ze te zien. Dat deed ik ruim 10 jaar geleden al toen ik ging kijken wat de vorige eigenaar voor zijn huis had betaald.

Check this: https://www.kadaster.nl/winkel?toon-product=70
Voor € 2,40 krijg je het volgende te zien:
Van elke woning ziet u:
het huisnummer
de datum waarop de woning is verkocht
de verkoopprijs
de oppervlakte van het perceel (niet bij appartementen)

Per SMS kan het ook en kost het slechts € 1,50 (maar dan zie je iets minder).

Neoldian @Arietje • 10 mei 2018 15:22

De AVG gaat dit niet veranderen. Wanneer er een wettelijke regeling is waarvoor persoonsgegevens verwerkt worden, dan mag dat volgens de AVG (wel moet er nog steeds gezorgd worden voor duidelijke registatie, beveiliging van gegevens, etc). De overheid zal dus eerst de wet moeten veranderen die de openbaarheid van deze gegevens afdwingt.

Overigens is dat in de huidige WBP ook al zo. De AVG is geen wondermiddel dat ineens alle privacy garandeerd.

Iblies @Neoldian • 10 mei 2018 16:56

Het is juist mooi en grappig (weliswaar met een traan) wat voor lijken er allemaal uit de kast komen.

Als je een bedrijf vroeg wat ze deden aan privacy dan vond iedereen dat belangrijk en werd er aandacht aan besteed, ondanks het feit dat je gewoon de gegevens vaak met een kleine omweg kon opvragen.

Nu er een redelijk strikte wetgeving is gekomen waaraan iedereen zich moet houden,
beseffen ineens veel bedrijven dat het geen kwestie is van bijschaven,
maar dat hun eigen administratie voor geen meter houdbaar is en dat er stiekem toch veel werk inzit om het comfort wetgeving te invullen.

supersnathan94 @Arietje • 10 mei 2018 16:29

Het kadaster zelf is het helemaal met je eens. Dat staat buiten kijf. Het kadaster is alleen wel van mening dat het zich aan bestaande wetgeving moet houden en dat als de AVG daar mee conflicteerd eerste de wet moet worden aangepas doormiddel van een Algemene Maatregel van Bestuur (AMvB).

Dit staat ook in het gelinkte artikel hierboven. Het kadaster is dan ook in gesprek met het verantwoordelijke ministerie en probeert notarissen te sturen in wat ze wel en niet in de aktes opstellen.

Daar zit namelijk een soort van maas in de wet. Het kadaster mag de data niet aangepast openbaren, maar wat niet in de brondata zit kan ook niet openbaar gemaakt worden. Voor nu is de eerste oplossig dan ook nieuwe aktes dusdanig opstellen dat de prive data er niet bij naam en toenaam in staat.

Arietje @supersnathan94 • 11 mei 2018 13:29

Klopt natuurlijk, maar ik zou RTL eerder prijzen dan ze af te kraken, want ze stellen aan de kaak dat dit mis is. Dan ontstaat er meer publieke druk waarop de overheid zich genoodzaakt zal voelen om het aan te passen.

Want het voelt gewoon heel krom aan natuurlijk, je moet als bedrijf van A tot Z alles op orde hebben met de AVG, maar dan heeft de overheid een gedrocht van jewelste die alle info voor een zacht prijsje verkoopt.

supersnathan94 @Arietje • 11 mei 2018 14:47

Nee ik kraak ze af. Het artikel deugt niet en had net zo goed druk uit kunnen oefenen door netjes te vermelden wat er dan moet verbeteren/veranderen, want dat weten ze namelijk ook. In plaats daarvan is het artikel gewoon een slechte rant naar hoe het niet zou moeten zonder onderbouwing hoe het dan wel moet.

Arietje @supersnathan94 • 11 mei 2018 16:35

Ben ik niet mee eens. Powned kwam in 2016 ook al bij de baas van de AIVD langs om aan te kaarten dat dat kadaster nergens op slaat. Het is bij de gene die hier van moeten weten al lang bekend wat de oplossingen zijn. Ondertussen wordt ons die AVG voor de voeten geworpen (op zich prima), maar begin als overheid eens met het goede voorbeeld te geven. Als je dat niet doet kan je een sensatie stuk krijgen.

supersnathan94 @Arietje • 11 mei 2018 16:41

Sorry maar wat heeft de baas van d AIVD hiermee te maken? Precies nul.

Sensatie stukken is allemaal leuk enzo, maar als je dan gewoon de bron aanpakt en daar mee om tafel gaat schiet je tenminste wel op. Als je dan het kadaster vraagt om een reactie (wat RTL gedaan heeft) en vervolgens meld je daar niets over dan sla je wat mij betreft de plank mis.

Arietje @supersnathan94 • 11 mei 2018 17:01

In het RTL stuk: "Uitzonderingsgevallen

Het Kadaster wil niet inhoudelijk reageren op de kwestie, maar laat in een reactie weten dat er wel een oplossing moet komen voor uitzonderingsgevallen. "In situaties waarin de veiligheid van personen in het geding is, moet en kan een oplossing worden geboden waarbij toegang tot persoonsgegevens wordt beperkt", laat de woordvoerder weten.

De organisatie verwijst daarbij echter naar een regeling in een Algemene Maatregel van Bestuur, die er nog niet is. Het Kadaster is erover in gesprek met het ministerie; onduidelijk is wanneer daar verandering in komt."

Dat is ook wat ik lees in het stuk van het kadaster zelf. En dat gaat dan alleen over uitzonderingen. Ik zie dus nog nergens dat het kadaster ook structureel af wil van deze gegevens openbaar maken.

Dus ten eerste het kadaster wil nog steeds geen oplossing die in lijn ligt met de geest van de AVG. Ten tweede heeft RTL gewoon het standpunt van het kadaster opgenomen.

Niet alleen heeft RTL dus gewoon gelijk: je bent als burger de sjaak, het kadaster is ook niet van plan zich daar hard voor te maken.

"De wettelijke taak van het Kadaster om registergoederen te registeren, heeft onder meer als doel rechtszekerheid te waarborgen. De informatie van het Kadaster is daarom openbaar." Dit is gewoon een lulverhaal natuurlijk.

Of jij moet een ander artikel hebben waarin staat dat het kadaster ook bezig is met de inhoud van alle aktes?

supersnathan94 @Arietje • 11 mei 2018 17:16

Toevallig onderste regel in het artikel:

Tevens is het Kadaster doorlopend in gesprek met partners, zoals makelaars en notarissen, over privacy.

Zoals ik eerder al zei ligt de bal bij notarissen en de wetgever. Het kadaster is veelal geen bronhouder en mag en kan de data dus niet zomaar aanpassen.

Verder heeft het kadaster naar mijn weten wel inhoudelijk gereageerd op de situatie, maar weet ik niet of ik daar inhoudelijk op in mag gaan. Zal het even checken voor de zekerheid.

Arietje @supersnathan94 • 11 mei 2018 17:23

"‘Het Kadaster is een groot goed, er staat
geregistreerd van wie welk stuk grond
is en welk huis, dat is belangrijk voor
de rechtszekerheid. Maar het moet
zich wel verhouden tot de privacy. Ik
ben pas nog bij de bestuursvoorzitter
van het Kadaster geweest om daarover
te praten. Wat kan wel, wat niet, wat
moet worden aangepast. Het Kadaster
moet wellicht adviezen gaan geven aan
notarissen, over dingen die niet meer
in aktes mogen worden opgenomen,
omdat ze anders via het Kadaster in
de openbaarheid komen. En dat mag
niet. Bepaalde gegevens van mensen
mag je niet openbaar maken. Je mag ook
niet te veel data verwerken, het moet
in verhouding staan tot het doel. Het
Kadaster werkt volgens de Kadaster-
wet. Maar die mag niet in strijd zijn met
de Europese privacywet AVG. Dus ik
vrees dat er best een klus ligt voor het
Kadaster.’ "

Uit https://www.eigenhuis.nl/...-wolfsen-ehm-mei-2018.pdf

De voorzitter Autoriteit Persoonsgegevens vreest dat er best een klus ligt voor het Kadaster.

Kijk ik snap ook wel dat dit in de loop der jaren allemaal zo ontstaan is. Maar als ik het zo bekijk denk ik dat iedereen van notaris tot wetgever en kadaster hier flink mee aan de bak moet.

Edit: En ik blijf het stuk van RTL toch gewoon zien als even een duwtje geven, ik begrijp dat jij ergens bij het kadaster zit, dan snap ik je reactie maar als lezer vat ik het stuk gewoon op als dat het bij het kadaster gewoon nog niet goed zit, wie daar verder achter zit wordt al vrij snel ingewikkeld, als de AP het zelf ook al niet goed weet.

[Reactie gewijzigd door Arietje op 23 juli 2024 01:43]

supersnathan94 @Arietje • 11 mei 2018 17:46

En dat is dus precies het probleem. Het issue ligt dus niet bij het kadaster. Want als je zegt dat ze zich aan de AVG moeten houden dan heb je helemaal gelijk, maar moeten ze zich dan niet houden aan de kadasterwet? Uiteraard wel, want ook daar geldt wet is wet en daar heb je het maar mee te doen.

Het kadaster bevind zich nu dus in de situatie waar historische gegevens niet voldoen aan de AVG en als het kadaster dat wil aanpassen dan voldoen ze niet meer aan de kadasterwet, want publicatie gegevens mogen niet worden aangepast door anderen dan de bronhouder.

Voor het kadaster is het dus niet zozeer een boel werk om aan beide wetten te voldoen. Als middleman zijn zij aangewezen op de data van een en wetten van de ander. De systemen bij het kadaster nemen 1-op-1 over wat ze aangeleverd krijgen. Dat is de bedoeling en daar zijn ze voor ontworpen. Het punt zit hem in de brondata. Als die niet conform de AVG is dan is de publiekelijk beschkbare data dat ook niet. En daar kan en mag het kadaster zelf dus niets aan doen.

Dat is dan ook het punt wat het kadaster in hun artikel duidelijk probeert te maken en wat ik hierboven ook al heb gezegd. Als de notaris de gegevens niet opneemt worden ze ook niet gepubliceerd. En daar zit het hele punt. De notaris is hier de verantwoordelijke (zij leveren de data met de intentie dat dit gepubliceerd kan worden) en als daar dus data in zit die volgens de AVG niet gepubliceerd mag worden dan ligt de verantwoordelijkheid dus ook bij de notaris die de akte opstelt of de wetgever die aangeeft dat die data niet gepubliceerd hoeft te worden. 1 van die twee is al voldoende.

Het grootste werk voor het kadater zit hem dan in de historische data, want die aanpassen kan in de datamodellen vaak problemen geven voor historische doelen (want een akte aanpassen betekent dat dit goedgekeurd moet worden want juridisch geneuzel). Daar heb je dus verschillende partijen bij nodig en die zullen dus allen snel moeten acteren.

Origin64 @Arietje • 10 mei 2018 17:46

De overheid die hand in eigen boezem steekt? Hoe dan? Welk departement zal de aanklacht tegen het kadaster in moeten dienen? Wie zit er op het bankje van de verdediging, en wie aan de kant van de aanklager? En wat wordt de straf?

Laat onze politici en ministers etc nou eens competent genoeg zijn om in te zien dat nieuwe Europese regels conflicteren met nationale wetgeving en dit oplossen voordat het een probleem wordt. Maar ja ze moeten er nog even aan wennen dat ze verantwoording af moeten leggen aan een hogere overheid.

[Reactie gewijzigd door Origin64 op 23 juli 2024 01:43]

harrytasker @supersnathan94 • 10 mei 2018 13:55

Ik wilde alleen aangeven dat als je gegevens niet linksom kan krijgen je ze gewoon rechtsom kan krijgen. Wat sommige van deze regelingen min of meer "nutteloos" maken, omdat er te veel uitzonderingen gemaakt worden.

fastedje @supersnathan94 • 10 mei 2018 18:23

Ik heb zo'n vermoeden dat een gang naar de rechter aan moet tonen welke wet hier nu precies boven de andere staat.

In het algemeen ben ik nog steeds verbaasd dat er geen fatsoenlijke authenticatie methode is voor burgers anders dat je allerlei details van jezelf op straat moet gooien. Een PKI mechanisme zou dit toch kunnen voorkomen.

karma4 @fastedje • 10 mei 2018 20:44

Eens. Het rare is dat BZK RVIG campagnes voert om het BSN geheim te houden. Ze ontlopen zo de verantwoordelijkheid voor een PKI mechanisme door het probleem bij de slachtoffers te leggen.
Een deugdelijke vaststelling of persoon en bsn bij elkaar horen is wettelijk verplicht

Skit3000

@Niet Henk • 10 mei 2018 09:51

Zie ook pagina 7 van:
http://web.archive.org/we...xtern%20gebruik_34626.pdf

Kunnen zoeken op woonadres is nu inderdaad niet meer aan de orde, maar tot halverwege 2017 kon dat API-eindpunt nog bereikt worden en was het dus mogelijk deze gegevens te reconstrueren.

Toevoeging: Op onderstaande pagina (geïndexeerd in april 2017) is nog de verwijzing te zien naar het kunnen zoeken op plaats (wat dus op dat moment ook nog steeds de woonplaats terug gaf):
http://web.archive.org/we...nspecialisme/default.aspx

[Reactie gewijzigd door Skit3000 op 23 juli 2024 01:43]

Niet Henk @Skit3000 • 10 mei 2018 10:19

Ok, misschien zijn mijn doorgegeven data wat stellig, sinds ze ook wat tijd nemen de oude API's uit te faseren. Maar de dingen die echt relevant voor mij zijn (tel. nummer, huisadres, e-mail) zijn weldegelijk langer niet beschikbaar.

Het tabel, zoals weergegeven in dit artikel, is tevens erg stellig, en geeft niet de uitgebreide beperkingen (zoals: al meerdere jaren niet meer mogelijk) weer bij het opvragen van sommige gegevens. Dat maakt dat ik dit artikel enigzins misleidend vindt.

Daarnaast is natuurlijk een belangrijke vraag hoeveel gegevens je kan vrijgeven, zonder dat het kwalijk is. Voor beroepsregisters zou ik zeggen dat enkel initialen, achternaam, geboortedatum en beroep waarvoor de persoon gediplomeerd is een acceptabele hoeveelheid gegevens is. Als werkgever of client wil je namelijk wel betrouwbaar kunnen controleren of iemand adequaat gediplomeerd is. Als je hier verder op inkort, zal dat lastig worden.

Skit3000

@Niet Henk • 10 mei 2018 16:35

Het klopt dat die gegevens al een tijd niet meer beschikbaar zijn. Het onderzoek is over een langere periode uitgevoerd en nu pas naar buiten gebracht omdat het er op lijkt dat alle registers nu eindelijk pas op een of andere manier stappen hebben ondernomen om misbruik tegen te gaan. Eerder publiceren over bijvoorbeeld slechts twee registers in de zorg zou copycat-gedrag in de hand hebben kunnen werken en zo misbruik in de hand spelen. De zoekfunctie bij het AGB-register bijvoorbeeld is pas sinds maart dit jaar aangepast.

Kijk ook eens naar het SVH-register. In plaats van dat je lukraak kunt zoeken, geven zij alleen een OK/FAIL melding wanneer al je ingevulde gegevens overeen komen met iemand die in dat register staat opgenomen. Zeker wanneer het om een publiek API-eindpunt gaat zou dit wel wat strenger mogen zijn, daar maken immers alleen bedrijven gebruik van die al informatie over de professionals hebben. Sterker nog, misschien zou je in dat geval alleen mogen zoeken met een SHA256(voornaam+achternaam+geboortedatum+geboorteplaats)-hash van iemands gegevens, zodat je de andere partij niet per ongeluk informatie over een persoon kunt geven die zij nog niet hebben.

Voor enkele zoekopdrachten (zoals een consument zou doen) is een reCAPTCHA waarschijnlijk al genoeg om misbruik te voorkomen, maar zelfs dat hadden de meeste registers niet.

Niet Henk @Skit3000 • 10 mei 2018 18:44

Voor registers die m.n. voor werkgevers bedoeld zijn, kan ik me dat goed voorstellen dat enkel OK/FAIL voldoet. Dan zijn vaak gegevens als geboortedatum en achternaam beschikbaar vanuit een personeelsbestand beschikbaar voor degene die zoekt.

Voor de zorg ligt het anders. Hier moet namelijk ook door clienten gezocht kunnen worden, sinds artsen zelfstandig kunnen werken. En gezien artsen deels een publieke functie hebben, worden vaker compromissen m.b.t. privacy gemaakt. Een rechter heeft o.a. zelfs geoordeeld dat http://www.zwartelijstartsen.nl/ geen regels overtreed, een website die zo veel mogelijk persoonlijke informatie van "foute artsen" publiceert voor onbepaalde tijd (ik vraag me af of met de nieuwe regels die uitspraak stand zou houden, maar vooralsnog blijft de site bestaan).

Gegevensbescherming en artsen is sowieso wel een interessante, omdat je als arts bijvoorbeeld een COV check kan uitvoeren. Kortweg komt dat er op neer dat je in een database kan zoeken met BSN, naam, adres en verzekeringsgegevens van alle verzekerde Nederlanders (en iedereen is verplicht zich te verzekeren). Er schijnt enige bescherming op te zitten (als je honderdduizenden aanvragen gaat uitvoeren, dan krijg je misschien vragen), maar het is i.i.g. niet ongebruikelijk zo'n check voor een praktijk voor alle patiënten een aanvraag te doen om de gegevens te controleren. Artsen mogen dus minder privacy krijgen, maar mensen hebben duidelijk ook minder privacy t.o.v. artsen.

Quacka @Niet Henk • 10 mei 2018 10:56

Het probleem is dat dit de OVERHEID is. Die zou toch het goede voorbeeld moeten geven?

laptopleon @Niet Henk • 10 mei 2018 11:45

Het probleem is dat met name de geboortedatum door veel bedrijven en instanties als belangrijke 'controlevraag' beschouwd, als je belt met pakweg de Rabobank of Ziggo om iets aan te laten passen. Dus dit is echt niet handig, zowel van die bedrijven / instanties als van de registers.

supersnathan94 @laptopleon • 10 mei 2018 12:24

tsja zolang iedereen en zijn moeder geboortedatum op FB heeft staan is dat natuurlijk een vrij waardeloze check.

Verwijderd @laptopleon • 10 mei 2018 14:18

Klopt idd... toen ik nog bij mijn vader woonde.. kon ik het abonnement aanpassen (telefonisch) terwijl er alleen om GB en woon adres wordt gevraagd..

Gosse_W 10 mei 2018 11:02

In de zorg zie ik wel meer problemen aankomen met de avg straks. Veel van deze systemen zijn nauwelijks beveiligd. Als voorbeeld (er zijn er vast meer): Bij mijn tandarts maak ik afspraken voor controle door via een onbeveiligde verbinding in te loggen op www.{afsprakenbedrijfje}.nl/{tandarts}. [alu hoedje]De website zelf post ik hier maar niet. [/alu hoedje]

Inloggen kan met postcode+geb.datum waarna mijn hele gezin zichtbaar wordt incl. geboortedatum, en afsprakenhistorie. Dit lijkt mij een beetje jaren 90 beveiliging

Met een beetje werk kan ik vast binnen beperkte tijd héél veel privégegevens van mijn hele dorp scrapen en zo een leuke database bouwen met gegevens van anderen die ik niet hoor te hebben. Ik vraag me toch af waarom dit kennelijk niet boeit in de zorgsector.

Liberteque @Gosse_W • 10 mei 2018 11:15

Omdat de zorgsector een groot verdienmodel is geworden en beveiliging een kostenpost..

Zou je voortaan de <aluhoedje></aluhoedje> alleen willen gebruiken bij doofpotaffaires, want dit is gewoon laksheid in beveiligen ;-)

Niekleair @Liberteque • 10 mei 2018 11:46

Dat resulteert wel dat uiteindelijk beveiliging van de gegevens in de zorgsector voor slimme bedrijven het nieuwe verdienmodel gaat worden.

supersnathan94 @Niekleair • 10 mei 2018 12:31

Mwah denk het niet. Systemen in de zorgsector die wel goed beveiligd zijn en die voor patientvolging worden gebruikt zijn meestal namelijk super klantonvriendelijk en traag.

Het wordt tijd dat er een bedrijf komt wat dat gewoon wel een keer goed doet.

Origin64 @Gosse_W • 10 mei 2018 17:51

Wat let je? Bouw die db, stuur hem naar de tandarts en de beheerder van de site, en zeg ze dat ze hiermee riskant bezig zijn. Dan is het binnen 24 uur offline.

[Reactie gewijzigd door Origin64 op 22 juli 2024 15:32]

SuperDre @Origin64 • 10 mei 2018 18:51

Je bent wel erg naief als jij denkt dat het werkelijk dan zo gebeurd.

Origin64 @SuperDre • 10 mei 2018 20:20

Als ze daadwerkelijk de nieuwe regels overtreden, dan wel. Staan best wel boetes op.

[Reactie gewijzigd door Origin64 op 23 juli 2024 01:43]

Gosse_W @Origin64 • 11 mei 2018 16:25

Ok, ik heb enigszins gebluft..

Zelf heb ik geen idee hoe dat zou moeten (ben totaal geen it'er, laat staan een ethische hacker) maar ik kan me voorstellen dat het met wat voorkennis niet al te moeilijk zou moeten zijn.

incaz @Gosse_W • 10 mei 2018 21:04

Je kunt de AP tippen. https://autoriteitpersoon...-persoonsgegevens/tip-ons
Geen idee of en hoe snel dat effect heeft, maar het is in elk geval meer dan niks. En ik hoop dat als de AP stapels tips krijgt over de zorgsector, ze het ook wat structureler aan gaan pakken. Ik ben ook al verscheidene onbeveiligde pagina's tegengekomen met veel te veel gevoelige informatie.

Gosse_W @incaz • 11 mei 2018 16:27

Da's een goeie, bedankt. Alleen geen idee waarom ik dáár nou ook alweer al m'n NAW-gegevens moet achterlaten! Aah ik word paranoïde!

hotabibber 10 mei 2018 12:09

Op RTV Utrecht https://www.rtvutrecht.nl/nieuws/1768063/ staat nu een stukje over de databases van de huisdieren.

Ten eerste snap ik niet dat er niet 1 database is, maar 3 verschillende. Maar het meest erge vind ik de reacties van de beheerders. Omdat u het vraagt zullen we er maar wat aan doen iets in die trend.

Hoe laks zijn dit soort organisaties.

stresstak @hotabibber • 10 mei 2018 13:16

Maar het meest erge vind ik de reacties van de beheerders. Omdat u het vraagt zullen we er maar wat aan doen iets in die trend.

Dat. De reactie daarop zou moeten zijn 'Het is niet omdat IK het vraag maar omdat het wet is.
U heeft het maar te doen anders volgen er maatregelen, u bent gewaarschuwd.'

hotabibber @stresstak • 10 mei 2018 13:38

Precies.

Frits1980 10 mei 2018 09:35

Allemaal organisaties die zwemmen in het geld in vergelijking met een zelfstandig ondernemer die exact dezelfde beveiliging moet regelen voor de data van z'n klanten. Daarnaast vraag ik me ook weleens af waarom er in NL zo enorm weinig synergie is tussen organisaties als het gaat om dit soort zaken. Met z'n allen kan je veel goedkoper deze beveiligingsproblemen oplossen dan elk individueel. Of zouden ze allemaal zo egocentrisch en arrogant zijn als de KvK?

Cyb @Frits1980 • 10 mei 2018 10:55

Eergisteren toevallig ook gebeld door een bedrijf die informatie uit KvK had weten te verkrijgen, althans dat gaf iemand anders aan die ook door dat bedrijf lastig gevallen was per telefoon. Toen ik direct vroeg of hij wist dat ik in het bel-me-niet-register stond ingeschreven, werd er excuses aangeboden en begreep de beller meteen dat verdere vragen stellen vanuit zijn kant iets te riskant is, en werd het gesprek vriendelijk beeindigd.

NOS heeft het over "Naam en adresgegevens" bij Kvk, maar ze vergeten:
https://www.kvk.nl/produc...en-bestellen/uittreksels/
https://www.kvk.nl/downlo...ting_p1_tcm109-410327.png
Geboortedatum, geboorteplaats, email, telefoonnummer.

En je krijgt te maken met de Belastingdienst, die weer eist dat je je BSN nummer (waarvan de overheid adviseert om deze geheim te houden) op elke factuur vermeldt.

The Zep Man

Privacy

@Cyb • 10 mei 2018 11:49

En je krijgt te maken met de Belastingdienst, die weer eist dat je je BSN nummer (waarvan de overheid adviseert om deze geheim te houden) op elke factuur vermeldt.

Met een BV heb je deze eis niet.

Jan-Remco @The Zep Man • 10 mei 2018 12:12

Welk punt wil je hiermee maken? Dat je dan maar een bv moet oprichten??

Cyb @Jan-Remco • 10 mei 2018 12:23

Dat zou wel een overweging kunnen zijn (hoe belachelijk dan ook) als je voor de keuze staat.
Privacy kost tegenwoordig geld....

supersnathan94 @Cyb • 11 mei 2018 14:56

Ik weet niet hoe het tegenwoordig zit, maar als Zzp-er direct een BV opstellen was echt niet chill. Minimum inleg is gelukkig van de baan want dat zou €18K eigen vermogen storten betekenen.

Privacy mag iets kosten, maar het is gewoon belachelijk dat de belastingdienst in het BTWnummer het bsn in zijn geheel opneemt.

Alleen voor zoiets een BV oprichten is waanzin. Voor ZZP-ers is er niet voor niets de ondernemersaftrek en de winstvrijstelling. Die is er juist om ondernemers op gang te helpen richting een goedlopende BV. Alleen wordt je hierdoor dus per direct privé afgestraft.

karma4 @Cyb • 10 mei 2018 15:15

En je krijgt te maken met de Belastingdienst, die weer eist dat je je BSN nummer (waarvan de overheid adviseert om deze geheim te houden) op elke factuur vermeldt.

De overheid heeft voor het gebruik van een BSN wettelijk voorgeschreven dat instantie die het gebruikt zich degelijk vergewist dat de persoon die zich gemeld heeft er bij hoort.
Nu is daar een probleem met een faal bij RVIG dat er niets voor geregeld is.

Dat de overheid adviseert om het BSN geheim te houden is een vervolg op die faal en legt het probleem bij de slachtoffers. Dat is een opeenstapeling van faals.
Het tonen van een kopietje paspoort dan wel noemen van een BSN zou als bewijs van identiteit betekenis horen te zijn. IAM identificatie en daarna de autenticatie.

Tunaflish 10 mei 2018 11:14

Heb dat artikel bij de NOS ook gelezen, en het ergste daarin vond ik wel de onderstaande alinea:

NDG, naar eigen zeggen de 'grootste gezelschapsdierendatabase', is al in januari op het beveiligingsprobleem gewezen, maar ondernam toen geen actie. "Als u het echt zo graag wil, dan doen we er wel wat aan", zegt Leen den Otter, voorzitter van de NDG. "Maar het is dat u er om vraagt, anders hadden we het niet gedaan."

Wat ben je voor ontzettende mafketel als je zo reageert wanneer blijkt dat gegevens gewoon zo op straat liggen? Ik heb mijn katten ook gechipt, geen idee of ze bekend zijn in die database, maar waar haalt die vent het gore lef vandaan om zo met mijn gegevens (en die van weet ik veel hoeveel andere mensen) om te gaan?

[Reactie gewijzigd door Tunaflish op 23 juli 2024 01:43]

Sandwalker

@Tunaflish • 10 mei 2018 11:34

Ik was tot voorkort een beetje sceptisch over de AGV. Je moet namelijk best wel veel regelen t.o.v. Papier. Sommige dingen zijn technisch niet direct evident. Ledenlijstje versturen, emailinhoud beveiligen. Prima voor een klein bestuur, maar zodra er verwerkingsovereenkomsten aan te pas komen zit je al snel aan juridisch advies vast, en je loopt tegen allerlei noodzakelijke websiteaanpassingen aan. Kan allemaal hoor maar als het niet je core business is, wil je daar wel eens met een andere bril naar kijken. De AGV en alle ophef daaromheen zorgt ervoor dat iedereen wel de juiste blik begint te krijgen.

Murmandamus @Tunaflish • 10 mei 2018 13:32

Omdat deze mensen niet eens het probleem zien. Dit volk heeft 'toch niks te verbergen' dus waarom al die heisa om niks...

MrHankey 10 mei 2018 09:26

Dit opent de weg naar scraping, met het risico op phishing, spam, profilering en ander misbruik van dien, stelt de onderzoeker.

Waar vanaf 25 mei 2 miljoen boete op staat..

Baris @MrHankey • 10 mei 2018 09:37

Tot 2 miljoen euro boete of 4% van het jaaromzet. En het is nog de vraag of de AP zo snel boetes gaat uitdelen, terwijl de overheid zelf ook hard op weg is om te voldoen aan de AVG.

Neoldian @Baris • 10 mei 2018 15:30

Maak daar 20 miljoen of 4% van de bruto jaaromzet van. Men heeft deze keer goed uitgepakt qua sanctie beleid

Maar in het beginstadium zal het allemaal wel meevallen in de handhaving idd.

[Reactie gewijzigd door Neoldian op 23 juli 2024 01:43]

SuperDre @Neoldian • 10 mei 2018 18:38

tja, dat zijn maximale bedragen, dus de vraag is hoeveel de werkelijke boete zal gaan zijn, en ook hoe men precies tot die boete gaat komen.

Neoldian @SuperDre • 11 mei 2018 00:05

Blijft natuurlijk altijd afwachten, maar dit zijn in ieder geval bedragen die ook voor de grote jongens gevoelig gaan worden en nu er toch iets meer focus is op wat er bij bedrijven als Google, Microsoft en Facebook gebeurd, is het wel fijn dat de AP in ieder geval een stok heeft, die tenminste een beetje indruk maakt

3dfx @MrHankey • 10 mei 2018 16:10

Als ze de middelen hebben er een zaak van te maken, misschien:

De Autoriteit Persoonsgegevens zegt dat het toegekende budget voor de handhaving van de op 25 mei in te voeren algemene verordening gegevensbescherming wellicht ontoereikend is.
De toezichthouder heeft op dit moment waarschijnlijk nog onvoldoende mensen in dienst.

Meer info: nieuws: Nederlandse privacytoezichthouder: budget handhaving AVG is wellicht ...

Hoge straffen hebben alleen zin en een afschrikwekkend effect als er ook een reële pakkans is

[Reactie gewijzigd door 3dfx op 23 juli 2024 01:43]

Wim-Bart @3dfx • 10 mei 2018 19:10

Paar boetes uitdelen en ze hebben budget

flippy 10 mei 2018 09:42

de KvK is helemaal een trieste bende. je betaalt 50 euro inschrijfkosten en geeft op alle mogelijke fronten aan dat je NIET benaderd wilt worden voor reclame of commerciele onzin en je word nog steeds tientallen keren lastig gevallen door allemaal vage tokos die je dingen aan willen smeren.

[Reactie gewijzigd door flippy op 23 juli 2024 01:43]

GabberPiet @flippy • 10 mei 2018 11:34

Dat is echt schandalig inderdaad! Gister ook weer geadresseerde postspam van een of andere kredietverstrekker. De enige mogelijkheid is dat hij ondanks opt-out mijn gegevens van de KVK haalt of koopt.

Boeven!

karma4 @GabberPiet • 10 mei 2018 15:51

JA die kredietverstrekkers die zich niet houden aan spamverbod of belmeniet dat zijn echt boeven.
Heb je die gemeld als overlast bij het AP?

Origin64 @karma4 • 10 mei 2018 17:52

Men klaagt liever een keer en gaat verder met het werk, melden kost tijd en moeite, dat doet een ander maar. En zo ettert het voort. Maar het is de schuld van de kvk.

[Reactie gewijzigd door Origin64 op 23 juli 2024 01:43]

karma4 @Origin64 • 10 mei 2018 18:03

Verschillen we van mening het is die kredietverstrekker die de ongewenste benadering doet niet de kvk.
Voor consumenten is het met het verbod opgehouden.
Met de GDPR AVG kun je de kredietvertrekker ook aanspreken en zelfs schadevergoeding proberen te krijgen. Het zijn zij (kredietverstrekker) die de persoonsgegevens onterecht gebruiken.

Origin64 @karma4 • 10 mei 2018 18:05

sorry, ik had [/s] bij de laatste zin te moeten zetten

[Reactie gewijzigd door Origin64 op 23 juli 2024 01:43]

karma4 @Origin64 • 10 mei 2018 18:47

Er is geen sorry nodig.
Om kort te zijn: het misbruik van makkelijk verkrijgbare gegevens is niet goed, daar zijn we het eens.

SuperDre @karma4 • 10 mei 2018 18:48

Maarja, die AVG geldt alleen voor persoonsgegevens, niet bedrijfsgegevens..

karma4 @SuperDre • 10 mei 2018 19:00

Het geld ook voor personen met naam / toenaam werkzaam bij een bedrijf.
Je kunt het bestuur onpersoonlijk aanspreken wat gaat bij een BV/NV.
Bij een eenmanszaak spreek je altijd de persoon aan. De kredietverstrekker (hier als voorbeeld) heeft de bedrijfsgegevens en kan dat weten. Dan wordt het de vraag of dat zo doorgetrokken gaat worden.
Ik zie geen reden dat het niet van toepassing zou zijn.
https://autoriteitpersoon...hten-van-betrokkenen-5892

http://eur-lex.europa.eu/...=CELEX:32016R0679&from=EN
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd,

Ik zie niet in waarom een eenmansbedrijf dan wel kleine maatschap daar niet onder valt.
Kun jij iets vinden waarom dat niet zo zou zijn?

WhatsappHack

Privacy

@flippy • 10 mei 2018 14:45

De KvK gaat echter om zakelijke gegevens en bedrijven kunnen die gegevens nu eenmaal tegen betaling opvragen, helaas. Ik ben er ook niet blij mee, maar anderzijds is het ook logisch dat zulke toegang er is om gegevens te controleren. Dat daar ook misbruik van gemaakt wordt is een lastige om omheen te werken, bedrijven genieten minder privacybescherming dan consumenten.

Een veel groter probleem is eigenlijk de belastingdienst, die nog altijd ZZP'ers verplicht om hun BSN op facturen te plaatsen.

karma4 @WhatsappHack • 10 mei 2018 15:16

lighting_ @flippy • 10 mei 2018 10:58

en dan nog doodleuk beweren dat ze niks fout doen

MartijnAbel 10 mei 2018 09:45

Zo stelde het CIBG volgens hem dat er nooit sprake is geweest van de mogelijkheid om naw-gegevens of geboortedata van zorgverleners via het BIG-register te achterhalen en dat een datalek daardoor onmogelijk is.

Echt!? Dat is wel te treurig voor woorden dat als er bewijs ligt en je dat onder je neus geschoven krijgt, je nog steeds willens en wetens zegt; "nee hoor, is niet zo"
Kunnen ze daar geen boetes voor geven? Kom er dan gewoon open en eerlijk voor uit en steek de hand in eigen boezem. Los het vervolgens netjes op en klaar.

Frits1980 @MartijnAbel • 10 mei 2018 09:50

Vanaf 25 mei is dat ook zo want dan is er een meldplicht.

IngamerX @Frits1980 • 10 mei 2018 11:06

Ligt er natuurlijk nog wel aan of er wat mee wordt gedaan.

Neoldian @Frits1980 • 10 mei 2018 15:33

De meldplicht is er al sinds 1 januari 2016.

Cyb 10 mei 2018 11:44

Arjen Lubach over het handelsregister (satire), maar kaart wel het probleem van dergelijke registers aan:
https://youtu.be/05hvsCiN6Dw?t=59s

karma4 @Cyb • 10 mei 2018 15:19

Heb ik bekeken, het is een hofnar rol die hij speelt. Een aantal beweringen kloppen gewoon niet.
Gildes het oudste handelsregisters zijn hier als sinds de middeleeuwe (hanze) bekend.
Napoleon kwam met de registratie van alle burgers en het burgerlijk wetboek.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (98)

Sorteer op:

Weergave: