Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens 10.000 Achmea-klanten op straat na datalek

Bij verzekeraar Achmea is een datalek voorgekomen. De naw-gegevens en bsn's van zo'n 10.000 klanten liggen op straat. Van sommige klanten zijn ook uitgekeerde bedragen uitgelekt. Het gaat om klanten met een pensioenuitkering uit een verzekering.

Volgens Fleur Bello, een woordvoerster van Achmea, lijkt het lek te liggen bij een medewerker in Apeldoorn. Iemand uit de omgeving van die medewerker heeft de gegevens vermoedelijk bemachtigd en verspreid, maar het is onduidelijk waarom. Een van de ontvangers van de data stelde Achmea weer op de hoogte. Dat was medio augustus.

De woordvoerster vertelt verder dat de Autoriteit Persoonsgegevens op de hoogte is gesteld van het datalek, zoals de wet ook voorschrijft. Het bedrijf wilde het datalek verder niet in de openbaarheid brengen omdat het er vanuit ging dat de gegevens niet verder verspreid gingen worden en omdat er een specifieke medewerker bij betrokken is, wat het privacygevoelig zou maken, vertelt Achmea aan onder andere het AD.

Update, 10:44: bericht aangevuld met het feit dat het gaat om klanten met een pensioenuitkering uit een verzekering.

Door Mark Hendrikman

Nieuwsposter

13-10-2018 • 10:02

113 Linkedin Google+

Submitter: GiGaN00B

Reacties (113)

Wijzig sortering
Het bedrijf wilde het datalek verder niet in de openbaarheid brengen omdat het er vanuit ging dat de gegevens niet verder verspreid gingen worden
Wat is dit voor rare gedachtenkronkel? Het feit dat ze al gelekt zijn lijkt me voldoende reden om dit op zijn minst te melden (en dus niet alleen bij de AP), ipv het stil te zwijgen en dan maar hopen dat niemand erachter komt...

Verder, hoe kunnen klanten nagaan of hun gegevens ook door Achmea zijn gelekt? Wordt dat ook stilgehouden, of kunnen die wel ergens dat controleren, of worden ze wellicht benaderd (mail, telefoon)? Zelf zit ik bij Zilveren Kruis Achmea, dus ik hoop maar dat mijn gegevens nog wel veilig zijn.

Edit: Achmea meldt het nu inmiddels ook op hun nieuws-pagina:
Het is ons bekend welke klanten het betreft en welke gegevens er zijn gelekt. We gaan de klanten die dit betreft zo spoedig mogelijk informeren en zijn hier inmiddels volop mee aan de slag. Het betreft klanten met een pensioenuitkering uit een verzekering.
Gaat dus in dit geval blijkbaar specifiek om pensioenverzekeringen, niet uit zorg- of inboedelverzekering etc.

[Reactie gewijzigd door wildhagen op 13 oktober 2018 10:32]

Ze zullen de klanten nu waarschijnlijk wel op de hoogte brengen, maar deden dat eerst niet omdat ze ervan uitgingen dat de gegevens niet in openbaar werden.
Als ik een usb stick op straat vind met data van achmea en ik bel ze op en zeg dat ik die gevonden en vernietigd heb is er toch geen reden om dat openbaar te maken? Intern onderzoek en een melding bij de AP lijkt me dan voldoende.
Want als bedrijf zou je natuurlijk zo maar het woord geloven van een random figuur.
Je kunt wel gelijk moord en brand gaan schreeuwen, maar ik kan me niet voorstellen dat hier kwade opzet in het spel is.
Ik denk aan een medewerker die per ongeluk nog een dossier bij zich had dat op kantoor had moeten blijven liggen en die dat verloren is. Hier een mediarel van maken is in niemands belang.
Dan heb je gewoon je beveiliging niet in orde. Ik kan een USB-stick op mijn werk laptop lezen, maar als ik ook wil kunnen schrijven, moet ik hem formateren en wordt hij geencrypt.
Een USB met een encrypted gegevens lekken is ook een datalek. Weliswaar is het risico op misbruik dan zeer laag.

Maar encrypted persoonsgegevens zijn nog steeds persoonsgegevens.

Maar ja, encryptie is een goed idee.
Niet volgens de (leidende) richtlijnen die de EU heeft opgesteld.
Een inbreuk die niet aan de toezichthoudende autoriteit zou moeten worden gemeld, is het verlies van een veilig versleuteld mobiel apparaat dat door de verwerkingsverantwoordelijke en zijn personeel wordt gebruikt. Mits de encryptiesleutel in het veilige bezit van de verwerkingsverantwoordelijke blijft en dit niet de enige kopie van de persoonsgegevens is, zouden de persoonsgegevens ontoegankelijk zijn voor een aanvaller.
Bron: https://autoriteitpersoon...meldplicht_datalekken.pdf P22
Maar het is dan nog steeds een inbreuk, alleen 1 die je niet hoeft te melden. En in mijn reactie zei ik nergens dat het verliezen van encrypted gegevens meldplichtig is. Enkel dat het ook een datalek is.

De reden dat ik het zei is dat veel mensen de misvatting maken dat encrypted persoonsgegevens niet meer onder de AVG vallen of dat er minder regels van toepassing zouden zijn, terwijl encryptie enkel een beveiligingsmaatregel is, namelijk: pseudonimiseren.

Dus meldplichtig datalek: nee
Datalek: ja.

Edit: aangevuld.

[Reactie gewijzigd door RvdDungen op 13 oktober 2018 15:17]

Encryptie is niet gelijk aan pseudonimiseren. Hoe kom je daar nou bij? Versleuteling gebruik je voor het bereiken van vertrouwelijkheid van de data (om het goed Nederlands te houden).
Encryptie is een vorm van pseudonimiseren van data.

Pseudonimiseren is namelijk het bewerken van data zodat het niet meer direct te herleiden is tot het origineel. En dat doet encryptie.
Versleuteling zorgt er voor dat je data vertrouwelijk blijft. Hierbij hoort een aanvaller nooit informatie over een bericht te kunnen krijgen (behalve dan de grootte van het bericht), zelfs niet als de aanvaller de versleutelaar vraagt om hetzelfde bericht nog een keer te versleutelen.

Als we dan naar de definitie van pseudonymiseren krijgen we (volgens Wikipedia):

Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd.

Dat is heel iets anders dan versleuteling. Je verwacht van versleuteling juist niet dat je nog een keer hetzelfde bericht berekend. Vandaar dat elke versleuteling een uniek element vraagt. Bij symmetrische versleuteling is dat de initialisatie vector / IV.

Het woord "versleutelen" in de definitie hierboven wordt nogal breed ingezet. Maar hoe dan ook: versleutelen is niet pseudonymiseren en een ciphertext is zeker geen pseudoniem. Een pseudoniem is iets wat hoort bij een persoon; het bericht dat wordt beveiligd met versleuteling hoeft zeker geen persoon of entiteit voor te stellen.

Dit soort misbruik van termen maakt het werk alleen maar lastiger, en het is wel lastig genoeg zo.
En met encryptie vervang je de persoonsgegevens door een versleutelde versie er van die je met een sleutel weer terug kan herleiden.

Daarom valt encryptie als beveiligingsmaatregel onder pseudonimiseren. Het belangrijke is, en het punt dat ik wilde maken, is dat het niet gelijk staat aan anonimiseren en dat het nog steeds geldt als persoonsgegevens. Vaak wordt de misvatting gemaakt dat onleesbaar gemaakte persoonsgegevens geen persoonsgegevens meer zijn, of dat er minder strenge regels voor gelden. Dat is dus niet zo.

[Reactie gewijzigd door RvdDungen op 14 oktober 2018 21:18]

Klopt en daar komt ook nog iets anders bij kijken. Ja data lek melden is nodig in de meeste gevallen echter je wenst als bedrijf ook de tijd te hebben om grondig onderzoek te doen naar de herkomst en reden.

Een kennis van me had dit aan de hand waarbij "gegevens" gelekt leken. Hun vraag was eerst evenwel of het een hack, fout of opzet betrof. Het onderzoek duurde zo'n 8 weken en was bekend bij APG en Justitie. Uitkomst het was niet toevallig, het was een medewerker en deed dit tot 3 keer toe na dat het ontdekt was. Daarmee was er genoeg bewijs om deze persoon op staande voet te ontslaan en vervolging in te stellen.

De grens tussen wat is belangrijker, snel openbaar maken of zorgen dat je, ik noem het maar de rotte appel, kan vinden om herhaling te voorkomen is soms erg dun.
Eigenlijk is 'openbaar maken' een foute term.

Je meldt het aan het AP, dat geen publicatie maakt van meldingen. En soms ook aan betrokkenen, wat ook niet openbaar is. Uiteraard kan een betrokkene het openbaren, maar als bedrijf kan je uiteraard wel eisen dat dat niet gebeurd tot een onderzoek is afgerond.

En ik kan me ook niet voorstellen dat het AP moeilijk doet als je wacht met melden aan betrokkene totdat een onderzoek is afgerond, zo lang er geen acuut risico is voor de betrokkene en het onderzoek niet te lang duurt.
Wat een vreemde uitzondering. Dat het encryptie heeft wil niet zeggen dat het nooit door een kwaadwillende ontsleuteld zal worden. Dat is het hele probleem met encryptie. Je bestanden zijn nu veilig maar over een jaar of 10 misschien niet meer. Bepaalde persoonsgegevens zijn dan nog steeds zeer relevant.
Het is dan ook nog in alle gevallen zo dat je het niet hoeft te melden wanneer de gegevens versleuteld zijn. Dat ligt aan de precieze omstandigheden.
Zeer goede reactie!

Mensen blaten hier maar wat zonder dat ze duidelijk weten waar ze het over hebben.

Mensen moeten eerst even goed de AVG leren (heb ik ook moeten doen) en daarna hun reactie plaatsen.
Gelukkig is de AVG een groot deel van mijn werk :).

Joolee plaatste zeker een goede reactie, alleen was die niet relevant met betrekking tot mijn reactie.
Weet je toevallig hoe ze dat gedaan hebben, stukje software neem ik aan?
Dat kun je gewoon met Bitlocker en standaard Windows GPO’s afdwingen. Gebeurt bij ons op het werk ook.
Je kunt je beveiliging volledig op orde hebben, maar wanneer er ook nog een menselijke component bij betrokken is wordt de beveiliging een stuk ingewikkelder. Iemand kan iets kopiŽren en vervolgens meenemen. Ook bijvoorbeeld je werklaptop door de kids thuis laten gebruiken is al een datalek wanneer je daar persoonsgegevens op hebt staan. Dan heb je alle mogelijke maatregelen technisch gezien genomen die er te nemen zijn maar toch nog een datalek. Jouw opmerking is iets te kort door de bocht. De opmerking van bussie66 hieronder is een hele goede. Lees eerst eens goed de spelregels van de AVG voordat je iets gaat roepen.
Je kunt je beveiliging volledig op orde hebben, maar wanneer er ook nog een menselijke component bij betrokken is wordt de beveiliging een stuk ingewikkelder. Iemand kan iets kopiŽren en vervolgens meenemen.
Excuse me? Waarom kan die medewerker zomaar iets onbeveiligd meenemen?

Dan is iets mis met je beveiliging.
Ook bijvoorbeeld je werklaptop door de kids thuis laten gebruiken is al een datalek wanneer je daar persoonsgegevens op hebt staan.
Dan is er zowel wat mis met je beveiliging als met je medewerker. Ik werk ook bij een verzekeraar en weet echt wel hoe het hoort te werken. Het is een werklaptop met encryptie met wachtwoord en je Windows inlogcode. Daar horen je kinderen niet op te zitten, dan neem je je werk gewoon niet serieus en volg je ook de regels van je werkgever niet op. Het gaat hier niet over de QuickFit!
Jouw opmerking is iets te kort door de bocht. De opmerking van bussie66 hieronder is een hele goede. Lees eerst eens goed de spelregels van de AVG voordat je iets gaat roepen.
Leuk dat je de AVG er bij haalt, maarAls er gebruik gemaakt was van encryptie, dan had dit niet gemeld hoeven worden en hadden we deze discussie niet, Sjaak. Het ging hier sowieso over de beveiliging die je moet nemen en niet de AVG.

Wat hier waarschijnlijk ongeveer is gebeurd is, is dat er een e-mail gestuurd is naar een aantal mensen waarin een onbeveiligd Exceldocument zat. Nu hoor je die dingen niet zo naar buiten te sturen (wachtwoord in een aparte e-mail) maar als je het intern denkt te dien en je stuurt het extern, dan is het in principe ook fout.

[Reactie gewijzigd door White Feather op 13 oktober 2018 15:32]

[...]


Excuse me? Waarom kan die medewerker zomaar iets onbeveiligd meenemen?

Dan is iets mis met je beveiliging.


[...]
Dan is er zowel wat mis met je beveiliging als met je medewerker. Ik werk ook bij een verzekeraar en weet echt wel hoe het hoort te werken. Het is een werklaptop met encryptie met wachtwoord en je Windows inlogcode. Daar horen je kinderen niet op te zitten, dan neem je je werk gewoon niet serieus en volg je ook de regels van je werkgever niet op. Het gaat hier niet over de QuickFit!


[...]
Wat hier waarschijnlijk ongeveer is gebeurd is, is dat er een e-mail gestuurd is naar een aantal mensen waarin een onbeveiligd Exceldocument zat. Nu hoor je die dingen niet zo naar buiten te sturen (wachtwoord in een aparte e-mail) maar als je het intern denkt te dien en je stuurt het extern, dan is het in principe ook fout.
Wachtwoord in aparte mail is nauwelijks een goede 2FA te noemen: naar een verkeerd mailadres sturen blijft daarmee een risico. Als je toegangscode of SMS kiest, eens met je suggestie. Overigens zijn er tegenwoordig genoeg gebruiksvriendelijke oplossingen die medewerkers bijv waarschuwen als het per abuis naar extern zou worden verstuurd.
Volgens mij heb ik gewoon recht erop om te weten indien anderen mijn data laten rondslingeren/ verliezen etc, ik vind dat argument niet opgaan.

edit: typo

[Reactie gewijzigd door jetspiking op 13 oktober 2018 10:18]

Nee dat recht heb je niet in alle gevallen.

Het is aan het bedrijf om te beoordelen of een lek serieuze risico's geeft aan betrokkene. En dat is complex genoeg. En aan het AP om bedrijven daarin te controleren.

Je kan onmogelijk met de beperkte info die de media je nu geeft bepalen wat hier nu precies geldt.
Als hij een verzoek om inzage doet, zou het er wel in moeten komen te staan. Hierop zit zover ik kon terug vinden geen uitsluitsel.
Interessant onderwerp. Het recht op inzage gaat over de betrokkene inzage geven in de persoonsgegevens die verwerkt worden door de verantwoordelijke.

Maar er wordt enkel gesproken over categorieŽn van persoonsgegevens en een kopie van de daadwerkelijke gegevens.

Een datalek betekent dat gegevens die, volgens de verantwoordelijke, rechtmatig verwerkt worden nu onrechtmatig gebruikt zijn.

Ik denk daarom niet dat het recht op inzage ook als reikwijdte heeft om inzage in onrechtmatig gebruik te verstrekken. Mijn vermoeden wordt versterkt omdat het artikel dat gaat over de meldplicht aan betrokkene hier ook niets over zegt.

Als een verantwoordelijke gegevens onrechtmatig binnen krijgt geldt al het transparantiebeginsel dus dan moet de betrokkene via die weg al op de hoogte gebracht worden.

Dus nee, ik denk dat wanneer een datalek niet meldplichtig aan betrokkene wordt bevonden er geen manier is waarop de betrokkene alsnog te weten komt dat dit plaatsgevonden heeft. Ook niet via recht op inzage.
Een datalek betekent niet dat de gegevens onrechtmatig gebruikt zijn. Het betekent dat ze data 'kwijt' zijn. Gewist, gekopieerd, gestolen, allemaal voorbeelden die hieronder vallen. Het is niet van belang of ze gebruikt zijn, doorverkocht of wat dan ook. Afhankelijk van wat er dan precies aan de hand is moet je het melden aan de AP en/of betrokkenen.
Het betekent dat ze onrechtmatig verwerkt zijn, waarbij wissen, gestolen en alles wat je noemt daar onder valt.

Waar ik 'gebruikt' schreef bedoelde ik 'verwerkt'.
Het is inderdaad een interessant onderwerp, mede omdat wetgeving is vastgelegd in een natuurlijke taal. Hierdoor blijft het gevoelig voor interpretatie en kan het afhankelijk van de context verschillend worden uitgelegd.

Lang verhaal kort: ik denk dat zowel voor jouw standpunt als mijn standpunt een goed urgument neergezet kan worden.

Kijkend naar artikel 15 zijn er diverse punten waarop je hierover duidelijkheid kan krijgen:
- af te dwingen dat dit moet blijken uit de ontvanger of categorie van ontvangers.
- 1a verwerkingsdoeleind, deze is tenslotte onduidelijk dan
- 1d ook onduidelijk
- 2 ook onzeker
- etc

Daarnaast geldt uiteraard dat een datalek o.a. gemeld 'moet' worden als "een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert". Hiervoor moet je onder andere kijken of het datalek kan leiden tot fysieke, materiŽle of immateriŽle schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiŽle schade en reputatieschade.

In de formele definitie zitten helaas veel vage termen waardoor je dit punt vrijwel altijd alleen via een rechter moet afdwingen om precedenten op combinaties van attributen te krijgen die leiden tot dit "hoog risico". Staat zo'n precedent eenmaal,dan is de kans ook hoog dat een bedrijf een boete krijgt als ze dit niet gedaan hebben. Deze laatste optie wordt dus sterker naarmate deze wetgeving langer bestaat (sinds 2016, dus relatief jong).
Als een medewerker per ongelijk een dosier van 10.000 mensen kan verliezen is er toch echt iets mis met de procedures bij Achmea. Je mag verwachten dat een groot bedrijf weet hoe ze met persoonsgegevens omgaan.
Je wil niet weten hoeveel bedrijven prima procedures hebben die door (een deel van) de medewerkers gewoon genegeerd of omzeild worden want “zo kunnen we ons werk niet meer doen”.
Of je kunt bijv. met de company laptop gewoon extern inloggen op de klantendatabase omdat je die toegang voor je werk nodig hebt en een derde weet toegang tot je laptop te krijgen terwijl jij ff een bakkie koffie bent halen.

En ja je hebt gelijk: hoogstwaarschijnlijk zijn ze bij Achmea allemaal verplicht om laptops dicht te klappen indien ze even weglopen. Menselijke fouten hou je nooit tegen.
Bij Achmea maken ze gebruik van tokens, ga je weg van je plek trek je de token uit je laptop en wordt die gelockt.
Klopt.

Komt uiteindelijk op hetzelfde neer he: je moet je werkplek afsluiten als je weggaat en opnieuw inloggen om weer toegang te krijgen. Er wordt van de werknemers dus een onpraktische discipline vereist waar men zich niet altijd aan zal houden - nu is er een lek in het nieuws maar het niet uitloggen/dichtklappen/token weghalen bij een wandelingetje gebeurt continu. Na zo'n schandaal zal iedereen weer ff op scherp gezet worden en elkaar in de gaten houden maar die sociale controle is er thuis sowieso niet.

Achmea neemt databescherming erg serieus en toch gebeurt het, dat wil niet zoveel zeggen over Achmea, het is gewoon een bevestiging van het feit dat werkelijke data security niet bestaat (behalve als proces): alle digitale data kan ťn zal lekken. Alleen politici en andere leken zijn naief genoeg om te denken dat gegevens ťcht veilig opgeslagen kunnen worden.
Kwade opzet allicht niet, maar hoe kun je vandaag de dag nog zo laks met gevoelige persoonsgegevens omgaan?
Dan heb je het niet goed gelezen en begrepen. Het gaat om gegevens van ongeveer 10.000 mensen.Die zijn ook bij de Stentor terecht gekomen. Het gaat dus niet om een enkele klant, en dan nog. Ook een enkele klant wil niet dat zijn gegevens rondzwerven. Het gaat om een grote fout van Achmea.
"Die heeft de gegevens bemachtigd en verspreid, maar het is onduidelijk waarom. Een van de ontvangers van de data (...)"
Klinkt niet echt als per ongeluk.
Gang van zaken rondom het melden is dubieus. Het verhaal was iemand heeft gemeld de data te hebben, die zou hem deleten en later komt die data opnieuw naar boven drijven. Het dubieuze is dat het lek meteen gemeld had moeten worden als iemand er mee komt. Vanuit de AVG wordt dit geŽist.
Nee, maar de media hoeft niet ingelicht te worden, alleen de benodigde instanties en de personen zelf.
En wie zegt dat jij de eerste bent die hem heeft gevonden? Iets met een portemonnee die je leeg aangetroffen hebt...

Ik hoop dat de potentieel gedupeerde hiermee geen issues krijgen op b.v. de arbeidsmarkt/afsluiten zorgverzekering en dergelijken.
Nee want volgens de wet is dat gewoon een datalek...
Nee want volgens de wet is dat gewoon een datalek...
Het is een datalek dat ze moeten melden aan de Autoriteit Persoonsgegevens. Dat hebben ze gedaan.

Richting de klanten geldt een meldplicht als het waarschijnlijk is dat de data misbruikt wordt. Daar hebben ze aanvankelijk de inschatting gemaakt dat die kans klein is, en daar zijn ze nu op teruggekomen, omdat ze nieuwe informatie hebben. Op basis van welke informatie ze die inschattingen hebben gedaan is niet duidelijk, dus we kunnen niet oordelen over of dat een goede inschatting is geweest.
Je snapt het niet, de privacy van een Achmea medewerker kan ik het gevaar komen als er meer over wordt gemeld. ... Ik snap het ook niet
Ik denk dat ze dus bedoelen dat Achmea niet gaat zeggen wie het heeft gedaan, is ook logisch anders krijg je een heksenjacht uit de middeleeuwen.
Zeker in deze tijd zie je steeds vaker dat mensen het heft in eigen hand nemen, snelweg blokkeren om mensen niet naar het sinterklaasfeest te laten komen bijvoorbeeld.

[Reactie gewijzigd door Soldaatje op 13 oktober 2018 12:38]

Dat je heksenjacht als voorbeeld neemt haalt gelijk onderuit dat het iets uit deze tijd is. Dat mensen het heft in eigen handen nemen is net zo oud als het recht zelf.
Het recht om te protesteren is in Nederland eenzijdig. Maar wat betreft Sinterklaasfeest, Nederland is een polderland. Wij Nederlanders doen dit door onderhandelen, praten.... Maar niet door zware protesten, agenten in elkaar meppen. We gaan met elkaar in gesprek en respecteren de anderen... Dus ook het recht om ongestoord een Nederlands volksfeest te vieren, en zelfs het recht om ongestoord Suikerfeest te vieren of van welke (niet) religie dan ook.
Ik denk dat ze dus bedoelen dat Achmea niet gaat zeggen wie het heeft gedaan
Wat je denkt wat ze bedoelen...
Maar Achmea zegt dat privacy van een medewerker rede was om het lek helemaal niet bekend te maken.
Zo zo, dus zodra het in het nieuws komt gaan ze de klanten ineens 'zo spoedig mogelijk informeren'.

Met andere woorden, eerst stil houden, want anders loopt het bedrijf schade op. Blijkt dat de informatie in het nieuws komt, dan net doen alsof we ons best doen.
Aannames, aannames.
Waar staat dat Achmea hun klanten niet had ingelicht als dit niet openbaar was geworden?
Bovendien zijn er nog wel wat scenario's te bedenken waar het inlichten van de klanten niet nodig is. Zoals bijvoorbeeld een medewerker die een dataset meeneemt naar huis omdat hij daar thuis in alle rust aan wil werken. Dan is er wel gelekt, maar je kunt aannamen dat de data niet verder dan die ene medewerker is gekomen. In dat geval hoef je je klanten (naar mijn idee) niet in te lichten.
Ze hebben helemaal geen plicht om het openbaar te maken, ze hoeven alleen de benodigde instantie te melden en de betrokken personen. Jij (en ik) hebt er als buitenstaander niets mee te maken.
Dat heb ik ook nergens beweerd.
Met de zin "Met andere woorden, eerst stil houden, want anders loopt het bedrijf schade op." suggereer je dat, terwijl ze het al gewoon netjes aan de benodigde instantie hadden gemeldt voordat het in het nieuws kwam.
Ik vraag me af hoe ze gedacht hadden dat de gegevens zich wel verder zouden verspreiden wanneer het in openbaarheid wordt gebracht....
Het is wachten op phishing mails waarin gemeld wordt dat jouw gegevens mogelijk gelekt zijn en dat je dat kunt controleren door op deze link te klikken |:( 8)7
Als er geen reden is om aan te nemen dat het lek serieuze risico's geeft aan de betrokkenen dan hoeft het niet in de openbaarheid gebracht te worden door het te melden aan de betrokkene zelf.

Dit kan ook gebeuren met zulke gevoelige gegevens als het bsn. Dan is er wel een meldplicht aan het AP, maar niet aan de mensen zelf.

Kan zomaar hier sprake van zijn, onmogelijk te beoordelen op basis van de verstrekte informatie.
Als er geen reden is om aan te nemen dat het lek serieuze risico's geeft aan de betrokkenen dan hoeft het niet in de openbaarheid gebracht te worden door het te melden aan de betrokkene zelf.
Maar hier gaat het om NAW-gegevens en BSN-nummers. Dat levert wel degelijk serieuze risico's op, want met die gegevens kan er identiteitsfraude gepleegd worden, waardoor de getroffene nog meer problemen kan krijgen dan alleen het lekken van deze info.

Daarnaast ook nog eens financiele transacties die van sommige klanten gelekt zijn, wat ook risico's met zich meebrengt.
Je kan er zelfs met het lekken van een medisch dossier nog correct kiezen om het niet te melden aan betrokkenen.

Het gaat puur om wat het lek voor risico geeft aan de betrokkenen zodat de betrokkene het risico kan mitigeren.

Voorbeeld: als een medisch dossier ingezien wordt door een andere arts zonder toestemming, dan is dat onrechtmatige toegang en (waarschijnlijk) een meldplichtig datalek aan het AP.

Maar de risico's voor de persoon zelf zijn uiterst gering, de arts zal hoogstwaarschijnlijk niets doen met de gegevens wat impact heeft op de persoon.

Maar als het dossier bij de verzekeraar terecht komt is er wel een serieus risico voor de betrokkene: namelijk uitsluiting. Dat moet wel gemeld worden aan de persoon zelf.

Nog een voorbeeld: naw gegevens op straat geven weinig risico. Maar naw in combinatie met leaseauto's wel. Daaruit kan je afleiden waar iets te halen valt. De betrokkene kan dan acties nemen zoals extra beveiliging.

Edit: typo

[Reactie gewijzigd door RvdDungen op 13 oktober 2018 10:45]

Ja dat met die leaseauto’s snap ik, maar wat zou ik kunnen doen om het risico dat ik geweigerd wordt door een verzekeraar te mitigeren?

Eis tot schadevergoeding door de getroffenen lijkt me op zn plaats als dat soort gegevens wordt gelekt.
Maar hier gaat het om NAW-gegevens en BSN-nummers.
Prachtig; precies die gegevens zijn algemeen bekend als je als ZZP'er werkt. Er wordt al jaren geklaagd met de vraag waarom je als ZZP'er een belastingnummer gekoppeld aan je BSN krijgt, die je vervolgens moet vermelden op al je facturen. En als je dan je bedrijf vanuit huis draait,... |:(
Daar is de BD ook voor op de vingers getikt. Ze moeten dit veranderen.
Ik lees bij het AD-artikel 'De persoon die de cliŽntengegevens in bezit heeft gekregen, heeft die onderschepte gegevens ook naar ons gestuurd, maar zei er bij het niet verder te verspreiden.' Dat zou kunnen betekenen dat de medewerler in Apeldoorn slordig met gegevens om kon gaan zodat een ander - de klokkeluider - de gegevens ook kon verkrijgen. Die is daarvan zo geschrokken en om dit aan de kaak te stellen heeft hij zijn ontdekking naar Achmea en de krant heeft gestuurd als bewijs. Hij toont daarmee aan dat er data kan lekken maar daar blijft het dan ook bij volgens 'maar zei er bij het niet verder te verspreiden.' Het lijkt mij dus een manier om een datalek te melden en om te voorkomen dat Achmea het wegwuift heeft hij het ook naar de krant gestuurd. Achmea kan daarop niets anders meer dan het feit melden bij de Autoritet Persoonsgegevens en dat is wat je nu in de krant leest. Dat er buiten de klokkeluiders onderschepte gegevens wel door iemand anders gegevens hebben kunnen zijn buitgemaakt zal de AP verder moeten onderzoeken.
Dit soort nieuws verschijnt nu bijna dagelijks. Dit is toch ernstig.

Wat is de strafmaat op opzettelijk lekken van persoonsgegevens eigenlijk?
Geen idee, maar ik lees ook nergens dat het hier om opzet zou gaan. Het kan natuurlijk net zo goed iemand zijn die onvoorzichtig is geweest met bijv zijn laptops, USB-sticks, of het open laten staan van een scherm terwijl hij niet op zijn plek was.

Denk aan het doorgeven van een laptop of USB-stick aan iemand anders, waar (onbedoeld) nog data op stond etc.

[Reactie gewijzigd door wildhagen op 13 oktober 2018 10:11]

zouden ze dan niet diefstal noemen van gegevens ipv een datalek?.

usb meenemen naar huis met persoonsgegevens is volgens mij zoiezo al verboden
Toch vraag ik me af leuk dat ze het melden maar als ik op die lijst sta zou ik dan kan kans hebben in een civiele procedure om bv 5.000 schadevergoeding te krijgen. Vind dat ze in het algemeen te makkelijk wegkomen hiermee.
Lekken, even melden en weer verder alsof er niet gebeurd is. Dat de klant later last krijgt van id fraude is zijn probleem.

[Reactie gewijzigd door ErikRo op 13 oktober 2018 10:45]

Toch vraag ik me af leuk dat ze het melden maar als ik op die lijst sta zou ik dan kan kans hebben in een civiele procedure om bv 5.000 schadevergoeding te krijgen.
Als het bedrijf de afweging maakt dat het lek niet gemeld hoeft te worden aan de betrokkenen en de rechter gaat hierin mee dan krijg je ook geen schadevergoeding. Als de autoriteiten de melding controleren en van mening zijn dat er wel gemeld had moeten worden dan zal dat bedrijf alsnog een melding sturen.....mogelijk dat je dan wel een schadevergoeding kunt eisen......maar hier in Nederland moet je wel de schade aantonen. Succes daarmee.
Vind dat ze in het algemeen te makkelijk wegkomen hiermee.
Welke strafmaat had je zelf in gedachten?
En welke bedrijven zijn er in het verleden makkelijk mee weggekomen dan?
Een strafmaat waardoor ceo's van bedrijven denken laat ik genoeg mensen capabele aannemen die zorgen voor veilige data en bescherming ervan.
Een fikse boete bv als blijkt dat bedrijf te weinig heeft gedaan aan encryptie van de database zodat hackers er makkelijk mee vandoor kunnen..
Of als blijkt dat de helft van het bedrijf bij de sql database met alle data kan voor even queurie trekken omdat het zo handig is soms.

Meldplicht zonder boete okť dat beveilogen data komt nog wel eens, weet ik overigens uit eigen ervaring helaas..
Bij kans op flinke boete verschuift de prio ineens naar prio 1.

In dit geval weten we niet wat er gebeurt is Achmea antwoord niet.
Ze probeerden het ook onder de pet te houden. Doe als waakhond niks en je weet zeker dat de maatregelen zullen tegenvallen.
Dus iets meer als foei mag van mij wel.
Bovendien zijn 10.000 mensen mogelijk slachtoffer van de blunder.
Als je met persoonlijke gegevens werkt en er zo mee omgaat. Is het naar mijn mening gewoon opzettelijk.

Hoe durf je zo laks te zijn met zulke gevoelige informatie. Hier zit echt wel verantwoordelijkheid van het bedrijf in.

Het bedrijf waar ik werk, werkt ook met persoonsgegevens van miljoenen Nederlanders (als het ze niet allemaal zijn). Ze maken echt wel duidelijk aan iedereen die met persoons gegevens in aanraking komt, dat je echt op je shit moet letten. Cursussen, posters, flyers, alles. Ook via simpele dingen als "PC niet locken bij verlaten afdeling = trakteren". Daar let je ook samen met elkaar op.

Het is echt een mindset bij een bedrijf, Achmea is laks, Achmea is schuldig.
Cursussen, posters, flyers, alles. Ook via simpele dingen als "PC niet locken bij verlaten afdeling = trakteren". Daar let je ook samen met elkaar op.
Prima, maar dat is allemaal wel heel erg vrijblijvend en voornamelijk nog in de informatieve sfeer. Als het daarbij blijft is er nog helemaal niets veilig. Waar het uiteindelijk echt om gaat is hoe je je systemen technisch inricht. Met posters en flyers hou je geen data binnen. Sterker: je hebt voor die posters en flyers gegevens naar een drukker moeten sturen...
Mensen zijn de zwakste schakel in het hele security gebeuren. Je kan nog de bende zo goed als je wilt opzetten. En dat is het hier wel, citrix, usb sticks worden genegeerd en persoonlijke gegevens zit ook binnen het netwerk apart achter wachtwoorden.

1 van de belangrijkste punten op gebied van security is het personeel fatsoenlijk inlichten en opleiden.

Wat ze hier tenminste naar mijn mening best goed voor elkaar hebben (behalve die random ww poster die ik vervangen heb met een Cyanide & Happiness printje.)

Als het moet kan ik hier ook wel met de NAW/rekening/telnrs en andere gegevens van zo'n beetje alle Nederlanders weglopen. Uiteindelijk komt het ook aan op je personeel kunnen vertrouwen.

Maar de meeste datalekken gebeuren gewoon door incompetent personeel, en dat balletje ligt bij het bedrijf wat ze aanneemt.
Laptops, USB sticks... Elke fysieke drager is absurd. De CIO zou gewoon de laan uitgestuurd moeten worden en persoonlijk vervolgt; zowel door OM als door slachtoffers.
Ze kunnen bedrijven hoge boetes opleggen tot een max. bedrag, wat in de miljoenen kan lopen. ;)
Dat ligt eraan hoe ernstig het lek is geweest en of ze al eens eerder zijn gewaarschuwd tijdens een audit.
En van die mogelijkheid maakt het AP ook steeds meer gebruik. De trend is dat nalatigheid daadwerkelijk bestraft wordt sinds de AVG.
Het is inderdaad ernstig. Maar niet te voorkomen met een hoge strafmaat, het kan immers ook per ongeluk gebeuren. De beste oplossing is naar mijn mening het voorkomen van onnodige data vergaring en opslag en tegelijkertijd eisen stellen aan hoe de data die wel vergaard wordt moet worden beveiligd en behandelt.

Het zou mij in elk geval niks verbazen als de betreffende werknemer niet meer dan 'slordig' is geweest en het daadwerkelijke probleem ligt bij het ontbreken van goede procedures die fouten kunnen minimaliseren.
"Volgens Fleur Bello, een woordvoerster van Achmea, lijkt het lek te liggen bij een medewerker in Apeldoorn. Die heeft de gegevens bemachtigd en verspreid, maar het is onduidelijk waarom.

Het bedrijf wilde het datalek verder niet in de openbaarheid brengen omdat het er vanuit ging dat de gegevens niet verder verspreid gingen worden en omdat er een specifieke medewerker bij betrokken is, wat het privacygevoelig zou maken, vertelt Achmea aan onder andere het AD."


Dus de privacy van ťťn werknemer die de informatie doelbewust heeft gelekt is belangrijker dan die van 10.000 klanten?

[Reactie gewijzigd door er0mess op 13 oktober 2018 10:10]

Dat staat er toch helemaal niet. De gegevens zijn al gelekt van 10.000 mensen. Vanwege privacy worden dat niet de gegevens van 10.001 mensen.
Ik denk dat je het datalek alleen aan betrokkenen moet melden. Je wilt niet dat er op de data gejaagd gaat worden door Jan en alleman. Zeker niet voordat je afdoende maatregelen tegen misbruik hebt getroffen. Als het eenmaal in het nieuws is of als de data al verspreid is dan vervalt die reden.

Maar dat van die betrokkene is onzin. Als je het meld kan je toch gewoon de naam van de medewerker weglaten? OK, de medewerkers bij het bedrijf zullen het wel terug kunnen leiden naar iemand. Maar enige sociale druk om het daarna goed te doen lijkt me op z'n plaats. Doodzwijgen lijkt me daar geen goede optie voor.

[Reactie gewijzigd door uiltje op 13 oktober 2018 16:36]

Waar lees je dat hij doelbewust dit gelekt heeft? Want het kan natuurlijk ook zijn dat het onbedoeld verspreid werd, door bijvoorbeeld een USB-stick met data erop onbewust aan iemand anders te geven.

En ja, ook de privacy van die persoon is belangrijk, en ook die mag niet zomaar worden geschonden. En dat hoeft ook niet, want wat voegt het voor de gedupeerden toe om te weten wie de oorzaak is geweest (bewust danwel onbewust)? Juist, niets dus.
Vanwege het woordgebruik.

Bemachtigd en verspreid klinkt niet als iets perongeluks..
Bemachtigen of verspreiden slaan op de gevolgen van acties, niet op de intentie.

Als een medewerker bestanden zou kopieren waarbij ook gegevens zitten die niet nodig waren en dan is dat ook bemachtigen. Vervolgens die gegevens op een onbeveiligde publieke prive-nas plaatsen is ook verspreiden. Maar het zegt niet of de acties met de intentie zijn gedaan om te lekken.

edit:
Overigens staat er in het oorspronkelijke artikel van het AD iets anders: Het vermoeden is dat iemand uit 'de omgeving' van deze werknemer de gegevens heeft weten te bemachtigen en heeft verspreid.
.

[Reactie gewijzigd door kodak op 13 oktober 2018 11:39]

Het zou toch bizar wezen dat je 10.000 klanten gegevens met dat systeem zomaar even op een usb stickje kan zetten, dat dit Łberhaupt kan met het systeem wat ze gebruiken (wat is het doel om dat mogelijk te maken).
Een datalek creŽren is niet automatisch een strafrechtelijk feit. En gelukkig maar.

[Reactie gewijzigd door RvdDungen op 13 oktober 2018 10:27]

Onbewust misschien niet maar zet hier het woordje "bewust" maar voor en je hebt het juiste verhaal. ;)
"Het bedrijf wilde het datalek verder niet in de openbaarheid brengen"

Dat is behoorlijk triest, alleen maar omdat ze aannemen dat het vast niet verspreid zal worden? Eeeeh.
Data en persoonsgegevens op straat...daar gaan we nog veel van horen in de toekomst. ..helaas
Waarom alleen maar burgerservicenummers en naw gegevens?
Waarom geen medische gegevens?
Waarom maar 10.000, Achmea heeft veel meer klanten.
Welk deel van de klanten, allen die een maagprobleem hebben, of een oog probleem, of die wanbetaler zijn of alleen mensen met wie de achternaam met een A beginnen.
Het probleem bij dit soort lekken de bedrijven bij waar het gebeurd niet alle informatie geven over wat en hoe.
En dat dit weer gebeurd met medische privacygevoelig gegevens, het is gewoon een groot probleem.
Dat we geen systeem gebruiken hier in Nederland, dat door ťťn bedrijf gebouwd is, en door ťťn instantie goedgekeurd is, waarmee iedere zorgverzekeraar mee moet werken.
Wat je nu hebt, dat iedere zorgverzekeraar een systeem aanschaft, wat jij moet vertrouwen om dat je geen inzicht en keus hebt hoe jou gegevens opgeslagen worden.
Ook als ik de zorgverzekeraar opbel en vraag iets , dan vragen ze mijn adres en bsn nummer, en vervolgens geven ze alle info vrij die je wil hebben!
Dit moet toch anders en veiliger kunnen!?
Waarom alleen maar burgerservicenummers en naw gegevens?
Waarom geen medische gegevens?
Omdat het hier niet om klanten met een zorgverzekering gaat, maar mensen met een pensioenverzekering.

Zie https://nieuws.achmea.nl/...-uitlekken-klantgegevens/
Het is ons bekend welke klanten het betreft en welke gegevens er zijn gelekt. We gaan de klanten die dit betreft zo spoedig mogelijk informeren en zijn hier inmiddels volop mee aan de slag. Het betreft klanten met een pensioenuitkering uit een verzekering.
Een pensioenverzekering beschikt over het algemeen niet over je medische gegevens.
Als je bij zo'n bedrijf werkt werk je vrijwel altijd met data subsets - je wilt bijv. iets doen voor een bepaald deel klanten die een specifiek product afnemen en je neemt daarvoor alleen die data in je bestand op wat nodig is voor je doel.

Zorgverzekeraars slaan in principe trouwens geen medische gegevens van je op behalve indirect nl. de omschrijvingen van declaraties van behandelingen / medicatie die je krijgt. Waaruit natuurlijk wel e.e.a. te herleiden is, maar het is niet hetzelfde.
Dit wist ik niet, de kop begint met "zorgverzekeraar" en niet met pensioenverzekering.
( is nu upgedate)

[Reactie gewijzigd door mongkut op 13 oktober 2018 10:50]

Achmea wil niet verder uitweiden over het verhaal omdat de privacy van een medewerker mogelijk geschonden zou kunnen worden, maar mijn gegevens liggen wel op straat? 8)7

Go figure....
Gaat het hier om Achmea zelf of ook om dochterbedrijven die onder Achmea vallen.
Ze hebben namelijk veel dochterbedrijven.

[Reactie gewijzigd door Jay47 op 13 oktober 2018 19:37]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True