Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Naw-gegevens uit RDW-database worden te koop aangeboden op internet

Corrupte medewerkers verkopen naw-gegevens uit het register van de RDW, de vroegere Rijksdienst voor het Wegverkeer, op internet. RTL Nieuws ontdekte Telegram-groepen waarin kopers op aanvraag persoonsgegevens die bij kentekens horen, kunnen verkrijgen.

De organisatie was niet van het lek op de hoogte, schrijft RTL Nieuws. De RDW is samen met de politie een onderzoek gestart om te achterhalen hoe groot de omvang van het probleem is. In de database van de RDW staan 11,5 miljoen Nederlandse kentekens waar informatie over bedrijven, personen en adressen aan zijn gekoppeld.

RTL bekeek enkele maanden lang de online verkoop van gegevens. Dat gebeurde via chatapp Telegram. Volgens de nieuwsdienst werden de naam- en adresgegevens voor tussen de vijftig en honderd euro verkocht. Er werd geadverteerd dat die gegevens binnen een uur binnen waren, wat inderdaad gebeurde toen RTL zelf kentekeninformatie kocht. In één geval kreeg het ook het mobiele nummer van de autobezitter.

RTL vond acht accounts op Telegram die gegevens te koop aanboden. Die zouden naar eigen zeggen zo'n drie tot zes keer per week een kenteken natrekken. Er wordt voor de gegevens betaald met betaalkaarten, Tikkie-betaalverzoeken of digitale valuta als bitcoin. De verkopers zouden tussenpersonen zijn die contacten hebben binnen de RDW.

Het is niet de eerste keer dat blijkt dat RDW-gegevens te koop worden aangeboden. In de 'kroongetuigezaak' waarin Nabil B. een hoofdrol speelt, bleek dat de verdachte kentekengegevens natrok voor criminelen. Dat deed hij via een familielid dat als boa werkte en zo toegang had tot het RDW-register.

Naast werknemers van het RDW kunnen ook andere instellingen zoals de Belastingdienst of het CJIB bij de gegevens. Het is niet bekend of de verkopers bij de RDW zelf werken of bij een van die tussenorganisaties. Het RDW zegt wel te loggen wie toegang heeft tot de gegevens, maar is op dit moment nog met een onderzoek bezig.

Door Tijs Hofmans

Redacteur privacy & security

23-07-2019 • 15:13

202 Linkedin Google+

Reacties (202)

Wijzig sortering
Terwijl dit voorval in Nederland met afschuw wordt bekeken, kan ik vertellen dat in Zweden het kentekenregister gewoon een openbaar stuk is. Het wordt daar, net als de meeste activiteiten van de overheid, gezien als een "dienst" en niet als een " machtsmiddel". Het valt daar dan ook onder openbaarheid van bestuur en is voor iedereen toegankelijk. Alleen specifieke gevoelige zaken worden verborgen gehouden, b.v. boetes of medische gegevens. Iedereen kan echter kostenloos bijvoorbeeld de NAW- gegevens van de eigenaar van een voertuig via internet opvragen. En in Zweden maakt niemand zich daarover druk. Apart he.

[Reactie gewijzigd door iestyn99 op 23 juli 2019 21:49]

Dat het kentekenregister (lees: de voertuiggegevens) openbaar is/zijn, daar hebben weinig mensen problemen mee. De Autoriteit Persoonsgegevens heeft gelijk als ze zich druk maken om de NAW gegevens. Het heeft niks met 'openbaarheid van bestuur' te maken, omdat het om NAW gegevens van gewone burgers gaat - niet om NAW gegevens van bestuursorganen!
Heb je zijn reactie wel gelezen? Het gaat in Zweden juist om de NAW-gegevens die beschikbaar zijn, ook van gewone burgers. Daarnaast trekt hij niets in twijfel, hij kaart alleen aan dat hij het opmerkelijk vind dat het contrast zo groot is. Dat mensen hier het zo belangrijk vinden dat deze gegevens beschermd worden en dat ze het in Zweden eigenlijk geen enkel probleem vinden dat de NAW-gegevens van iedere autobezitter voor iedereen beschikbaar zijn.
Dat snap ik, en ik heb zijn reactie wel degelijk gelezen. Mij ging het vooral om de opmerking 'openbaarheid van bestuur'. Het is inderdaad opmerkelijk dat men er daar klaarblijkelijk geen problemen mee heeft dat alle gegevens zo opgevraagd kunnen worden, zelfs door mensen die niet bij de RDW werken en dergelijke.

Naar mijn mening is het maar goed dat dat hier niet kan (los van de gegevens die in het criminele circuit ter beschikking gesteld worden).
Mij ging het vooral om de opmerking 'openbaarheid van bestuur'.
Dat snap ik dan weer niet helemaal, want juist wat je daar over zei gaat toch niet op in Zweden?
Misschien een verduidelijking over het begrip "openbaarheid van bestuur" zoals dat in Zweden geldt: daar is het zo dat alles, echt alles, wat een ambtenaar doet openbaar is. Het idee is dat wij, de burgers, zijn werkgever is, en het recht hebben om te zien wat hij doet. Je kan daar dus bijvoorbeeld in principe alle e-mails van een ambtenaar opvragen en die moeten kosteloos en zonder oponthoud ter beschikking worden gesteld. Alleen specifieke informatie wordt verborgen en alleen als daar een goede reden voor is. Dan praten we over militaire geheimen, medische gegevens enz. Iemand zijn adres is zo algemeen bekend en voor anderen soms handig om te weten, dat dit niet geheim hoeft te worden gehouden door de overheid (tenzij je in een getuigenbeschermingsprogramma zit bijvoorbeeld!). Vindt men daar.

[Reactie gewijzigd door iestyn99 op 26 juli 2019 10:43]

Lijkt me niet goed af te lopen indien je slachtoffer bent van verkeersagressie. Al lok je zelf niets uit, op een slechte dag kan iemand je komen bezoeken o.b.v. deze gegevens.

Disclaimer: ik kijk veel actieseries.
In Nederland kon dat vroeger ook. Het is sinds een jaar of 15-20 aangepast.
De afschuw gaat in deze ook om hoe er met gegevens wordt omgegaan waarvan bij wet is vastgelegd dat ze niet openbaar zijn.

Leuk weetje, daar niet van, maar het is naar mijn mening wel een "andere discussie".
En in Zweden maakt niemand zich daarover druk. Apart he.
Natuurlijk zijn er mensen die zich daar druk om maken. Want het is natuurlijk foute boel als dat openbaar is. Wat zal het geval zijn: de overheid past 't beleid niet aan ondanks de klachten van de burgers die er geweest zijn.
Het is de laatste 2 jaar heel erg drastisch slechter aan het worden in Zweden. Dus ik denk dat het ‘openbaar systeem’ ook wel zo zal zijn dat dit aangepast gaat worden binnenkort
Maar dat is een aanname.

Bron
In 2017 kwamen in Zweden 42 mensen door kogels om het leven en 140 anderen raakten gewond bij meer dan 300 schietpartijen. Het aantal slachtoffers is de laatste vijf jaar ruim verdubbeld. De schoten worden voornamelijk gelost door leden van bendes: jongens en jonge mannen tussen de 15 en 25 die woonachtig zijn in de dichtstbevolkte buurten van Zweden.

[Reactie gewijzigd door Mel33 op 24 juli 2019 00:27]

Off-topic, maar hoe was het de jaren daarvoor, in 2015, 2016?
Nu is het zo dat ook in het fantastische Zweden er bendeoorlogen voorkomen, net als in Nederland. Maar ik denk niet dat zij per ze het kentekenregister daar voor nodig hebben.
Het registreren van wie de eigenaar is van een voertuig en zijn adres, is heel handig niet alleen voor de overheid maar ook voor burgers, vindt men. Als criminelen daar op verkeerde wijze gebruik van maken, dan moet dat worden bestreden maar dat betekent niet dat deze dienst van de burgers moet worden weggenomen. Vindt men dus in Zweden.

[Reactie gewijzigd door iestyn99 op 25 juli 2019 13:11]

Wordt nog leuk om te achterhalen. Er kunnen ook batches aangevraagd worden van kentekens. CRWAM en WEBREB is de applicatie van de RDW welke door zo ongeveer elke verzekeringsmaatschappij gebruikt wordt. Denk hierbij ook aan rechtsbijstandverzekeraars.

let wel op, je moet minimaal Windows 95 incl. SP2 hebben draaien!! }:O

https://www.rdw.nl/zakeli...plicaties-crwam-en-webreb

https://www.rdw.nl/zakeli...gevens-raadplegen-via-xml

[Reactie gewijzigd door j3r op 23 juli 2019 15:42]

http://www-diensten.rdw.n...ialVehicleInformation.xsd

De gegevens die daar zijn is iets met authority, dat lijkt me niet de owner. Ik weet niet of er nog andere xsd schema's zijn.
RDW is daarna niet meer echt verantwoordelijk.
Als ze alle protocollen volgen voor communicatie, zijn zij prima bezig.
De andere organisaties worden ook geacht de AVG protocol te volgen, en lijkt het daar niet te schorten.
Lijkt me toch eenvoudig te achterhalen.

Je koopt bij de tussenpersonen paar verschillende kentekens, 5 personen die ieder 1 kenteken info kopen.
Lijkt me dat de routes dan redelijk snel te achterhalen zijn.
Als originele bron van de informatie ben en blijf je in mijn ogen altijd verantwoordelijk.
Het zijn mijn gegevens die daar liggen opgeslagen, met het excuus "Vervelend dat uw gegevens op straat liggen, maar wij hebben ons aan alle regels gehouden, dus u moet niet bij ons klagen."

Bij wie moet ik dan wel zijn?
Op het moment dat je Windows 95 (SP2?) met IE6 nog ondersteund kan je nooit voldoen aan de moderne eisen voor communicatie. Iets met TLS 1.2 en strong ciphers...

Win95 + IE6 = SSLv3 / TLS 1.0 met RC2,RC4 of DES. AES is niet mogelijk.
Ook SHA2 is niet mogelijk, en laat staan een key groter dan 1024 bit.

Staat op zich los van de wijze waarop nu misbruik gemaakt wordt van systemen, maar als de systeemeisen zoals ze in bijgevoegde link staan vermeld waar zijn dan valt het RDW ook behoorlijk wat te verwijten.
https://www.rdw.nl/zakeli...plicaties-crwam-en-webreb
Het doet een beetje denken aan de KvK discussie van enige tijd geleden, de RDW lijkt hier ook een beetje boter op het hoofd te hebben. Autodealers maken er ook al jaren gretig gebruik van, krijg je opeens een folder van de nieuwste Opel Astra toegestuurd, zodra je Ford Focus toe is aan zijn eerste APK. Ik was nog nooit bij een Opel dealer geweest, laat staan dat ik daar ooit NAW gegevens aan heb verstrekt, ook niet via via.
Ben benieuwd naar de reactie van de Autoriteit Persoonsgegevens... overheidsorganen die overheidsorganen gaan beboeten, dat wordt een flinke sigaar uit eigen doos ben ik bang.
Ik heb dit idd ook meegemaakt, maar het kan toch bijna niet? De schaal waarop gegevens worden opgevraagd moet dan echt extreem groot en volledig geautomatiseerd zijn...
@Sorcerer8472 zo gek ver zit jij er niet naast er wordt namelijk wel degelijk "legaal" op grote schaal kentekeninformatie opgevraagd via de enkele duizenden ANPR enabled camera's in Nederland (Opvallend vaak met Chinese componenten). Deze informatie staat ter beschikking tot een allerlei aan instanties waaronder de douane, belastingdienst maar ook de grootste godsgruwel van Nederland SyRi.

Het probleem is niet zozeer de data en de stromen die hier uit ontstaan maar door de vele eilandjes is er geen toezicht en overzicht op het geheel. Neem daarbij het personeelstekort, de soms beroerde ICT huishouding, de hoge mate van corruptie binnen bepaalde overheidstakken en je hebt een shake & bake recept voor datalekken.

Onthoudt wel met een geschatte omzet van 20 miljard per jaar in het criminele circuit waarbij de politie en overheid vaak machteloos staan omdat ze zaken niet kunnen bewijzen is het zelfs zonder aluminium hoedje op makkelijk de conclusie te trekken dat er hulp is van binnen af.

Men gaat er altijd vanuit dat het externe diefstal is, echter mijn persoonlijke ervaring is dat het vaak van binnenuit gebeurt. Dus waarom geen ICTér die op de alternatieve loonlijst staan? En niet alleen kentekens, als je beetje in circuit zit kan je zelfs privé adressen kopen van mensen die liever niet openbaar bekend worden. Plus vergeet niet het dozijn bedrijven in Nederland waar je gegevens getoetst worden als je een Internetabonnement wil aanvragen, autoverzekering of andere dienst waarvoor je "getoetst" moet worden. Plus niet alleen autodealers hebben toegang tot de RDW systemen, ook advocaten, deurwaarders etc. Waarbij vooral de laatste groep de afgelopen jaren in zwaar is gekomen en diverse dubieuze verdienmodellen heeft bedacht.

Kortom verdachten ten overvloede, allemaal met eigen motieven en mogelijkheden en niemand is verantwoordelijk dankzij zaken zoals het Pikmeer arrest.

Overigens kan je veel informatie over hoe informatiestromen verwerkt worden openbaar vinden bij RINIS, NORA Online, de aanbestedingskalender en de bedrijven welke de aanbestedingen uitvoeren. Als je als overheid bijvoorbeeld een maximale winst eist van aannemers voor overheidsprojecten van 3% met software geschreven in Roemenië (bijvoorbeeld Centric) dan moet je niet heel raar opkijken van dit soort zaken.

Leesvoer:
https://www.rinis.nl/
https://www.noraonline.nl/wiki/NORA_online
https://uitspraken.rechts...d=ECLI:NL:RBDHA:2017:4898 Voorbeeld van hoe schijnbaar omschuldige openbare informatie best mooie inzichten geeft
https://www.cginederland....besteding-ict-bedrijf-rdw Wie werkten extern bij het RDW
https://platform.negometr...am=Id&sortDirection=False het draadloze netwerkbeheer van de RDW
https://bijvoorbaatverdacht.nl/wat-is-syri/ SyRi - Welke actief gekoppeld staat aan zo'n beetje elke persoonsgegevens database denkbaar in Nederland.
https://www.wodc.nl/ - Schrijft regelmatig hele mooie rapporten, in 1 van de laatste in opdracht van het OM over het feit dat er op dit moment ruim 27500 aangiften tegen politieambtenaren lopen waarvan er bewijs is dat zij een strafbaar feit hebben begaan. Ter info, er zijn net geen 55.000 politiemedewerkers.

Edit: Typo's en aanvulling voor linkinformatie

[Reactie gewijzigd door Silverdutchman op 23 juli 2019 17:45]

https://www.wodc.nl/ - Schrijft regelmatig hele mooie rapporten, in 1 van de laatste in opdracht van het OM over het feit dat er op dit moment ruim 27500 aangiften tegen politieambtenaren lopen waarvan er bewijs is dat zij een strafbaar feit hebben begaan. Ter info, er zijn net geen 55.000 politiemedewerkers.
Eerder in je post heb je het over corruptie, maar nu schakel je opeens over naar "strafbaar feit". Ik ben het volledig met je eens dat agenten in principe überhaupt geen strafbare feiten zouden moeten plegen, maar een agent die in zijn vrije tijd wat films van The Pirate Bay afhaalt of die geen licht op zijn fiets heeft is van een heel andere orde dan keiharde corruptie. Zelfs onder werktijd misbruik maken van een zwaailicht omdat je geen zin hebt om op groen licht te wachten (een vorm van machtsmisbruik) komt niet in de buurt van de ernst van corruptie.

Daarnaast is het zeer goed mogelijk dat er meerdere aangiften zijn tegen dezelfde agent.

Voor mijn gevoel klinkt je stelling als "de helft van de agenten wordt verdacht van corruptie", maar dat is dus absoluut niet het geval!

[Reactie gewijzigd door robvanwijk op 24 juli 2019 12:35]

Dan alsnog is het extreem veel.
Zelfs onder werktijd misbruik maken van een zwaailicht omdat je geen zin hebt om op groen licht te wachten (een vorm van machtsmisbruik) komt niet in de buurt van de ernst van corruptie.
Volgens Wikipedia:
"Corruptie is het politieke, sociale of economische verschijnsel waarbij iemand in een machtspositie deze misbruikt teneinde zichzelf of anderen ongeoorloofde gunsten te verlenen"
Volgens die definitie, is er dus sprake van corruptie als een agent van een zwaailicht gebruik maakt zonder noodzaak.
Excuses als ik te los was met woordgebruik. Ik doelde op de vorm van corruptie waar het artikel over gaat, tegen betaling vertrouwelijke informatie verkopen. Kunnen we het er, los van hoe het heet, over eens zijn dat dat significant erger is dan misbruik van een zwaailicht?
Nou... onnodig met zwaailicht rijden is ook niet bepaald ongevaarlijk ;).
Maar ik denk trouwens dat dat niet vaak voorkomt. Waarvan ik wel denk dat 't vaak voorkomt: agenten die sneller rijden dan de aangegeven maximale snelheid, zonder dat er nood is.
@robvanwijk De letterlijke tekst:

Met maar liefst 27.500 aangiften of meldingen van strafbare feiten is door de politie niets gedaan, terwijl er wel aanknopingspunten voor opsporing en vervolging waren.

En ja er zullen ongetwijfeld dubbele aangiftes zijn echter je vergeet ook dat er medewerkers zijn die de dans ontspringen, dus die 2 zullen tegen elkaar wegvallen. En als je als politiemedewerker een strafbaar feit hebt gepleegd is dat in mijn ogen corruptie, die die gaan als je de wet handhaaft als uitvoerder mijns inziens hand in hand. Zeker als je de definitie van corruptie erop nahoudt.

Maar 27.500 zaken waarvan er bewijslast aanwezig is/was, nog buiten het feit van de aangiften waarbij dit niet eens is onderzocht. En dit gaat om zaken waarbij een strafbaar feit is gepleegd, dus zaken zoals stelen van een arrestant, overtreding ambtseed (meestvoorkomende is liegen op PV), drugsmisbruik tijdens diensttijd (veel agenten gebruiken Wakalert of Modalert of variant hiervan vanwege de dubbele diensten) etc.

Maar wat ik probeerde aan te geven is dat er zoveel mensen binnen de overheid bij allerlei persoonlijke data kunnen waarvan een aanzienlijk deel een bedenkelijke achtergrond heeft. Dan vind ik dit niet zo heel vreemd dat het gebeurt.
Voor de goede orde: ik zeg dus niet dat er helemaal geen probleem is. Het punt was dat de verwoording van je post (voor mijn gevoel) suggereert dat het probleem nog vele malen groter is dan het in werkelijkheid is. Prima om het erover te hebben dat er een probleem is, maar laten we wel proberen om realistisch te zijn over de ernst van het probleem; een agent die oppeppende middelen gebruikt omdat ie zijn werk wil doen is iets heel anders dan een agent die geld aanneemt voor het doorgeven van niet-openbare, privacy-gevoelige informatie.
Daar heb je een punt, dat klinkt inderdaad niet iets wat onze overheid met goed fatsoen zou kunnen bouwen :D
Is heel lang geleden, maar heb ook ooit met zoiets te maken gehad. Je betaald ervoor, en je krijgt een zipfile toegemailed met csv bestanden oid erin.

Het is dan aan je eigen software om die data te minen en er wat mee te doen (wat natuurlijk allemaal prima geautomatiseerd kan).

Mag hopen dat het inmiddels anders gaat, maar die manier van data overdracht klinkt toch precies als onze overheid ;)
Ik heb meegemaakt dat een meneer van de RDW zelfs aanraadde dat je in Word ook logo's boven de brief kunt printen aan de hand van het merk auto dat die personen, zodat het meer vertrouwen wekt, en je meer APK's binnen haalt.

Uiteraard met selectie van APK's die binnen XX weken verlopen binnen een straal van XX kilometer.

Is al lang geleden, maar destijds vond ik het al behoorlijk shocking.
moah, dat is gewoon marketing...
als jij een garage hebt die allerlei merken goed kan onderhouden, kun je boven de brief natuurlijk ieder merklogo printen. Mensen denken dan dat je er verstand van hebt (en dat is natuurlijk ook zo) en brengen eerder hun auto...
Vind ik niets mis mee...
Waar ik wel wat mis mee vind: waarom hebben garages bljikbaar het recht om kentekengegevens inclusief naw op te vragen?
Dat ze auto's af moeten melden die een APK hebben gehad, ok, maar dat kan toch ook op kenteken.
Wat moeten zij met de naw erbij?
ik verwijt de garage ook niks, alleen de RDW dat ze het inderdaad te koop aanbieden en er ook zelf nog een marketing praatje bijhouden.
Dit soort activiteiten gebeuren via Google of Facebook. Ik heb ooit een gesprek gehad met een collega over trapbekleding terwijl ik 100% zeker nooit erover heb gezocht op internet. Diezelfde middag kreeg ik in de Google overal ads voorgeschoteld van trapbekleding. Dit is een beetje te specifiek voor toeval. Google en Facebook luisteren 24/7 mee op je telefoon. Daarbij gaat het bij Facebook uiteraard nog een tikkie verder omdat hun ook alles wat je aan berichten verstuurd nog lezen en opslaan of doorverkopen. Je typt ergens je adres aan iemand en ze hebben het. Vervolgens app je je vriendin dat je auto een apk moet hebben en dat je een afspraak hebt gemaakt en hoppa dag later ligt er een folder op de mat... zo vreemd is het niet. Dit hoeft echt niet perse via een autodealer of het rdw te lopen. We dumpen tegenwoordig alles op internet. Daar vallen al je Whatsapp berichten en foto's die je verstuurd gewoon ook onder. Hoe denk je anders dat Facebook je Whatsapp service voor niks kan aanbieden?

Ik vind het echt hilarisch als diensten als Whatsapp roepen dat je berichten verkeer encrypted is. Net of je je ook maar ergens zorgen moet maken dat iemand met een afluister apparaatje je schaaltje oppikt om het vervolgens te gebruiken. Je moet je veel meer zorgen maken over degene die de sleutel verzorgt voor deze encryptie. Whatsapp kan alles prima mee lezen wat je stuurt. Je moet wel heel naïef zijn als je denkt dat alles wat je op je telefoon doet niet doorgespeeld wordt naar derden.. Google heeft alles wat in Android zit zelf zo geschreven. Geloof maar dat echt alles wat je doet op je telefoon wordt doorgestuurd naar de servers.

[Reactie gewijzigd door sygys op 23 juli 2019 16:25]

Nog veel enger, heb mensen horen claimen dat fysiek over iets te praatte en vervolgens er reclame over kregen, mogelijk door een alexa die mee zit te luisteren.

Geen idee of het waar is, maar technisch zeker wel mogelijk en zou mij niks verbazen als er straks een schandaal over dit soort dingen is (of al is geweest en ik gemist heb).

Heb zon ding ook in een cafe zien staan, dus wordt nog leuk.
Dit heb ik met een groep vrienden getest en het bleek inderdaad waar. Met 5 man hebben we onze telefoons vergrendeld op tafel gelegd en expres een kwartier over de Apenheul gesproken. Bij 3 van de 5 kwam er dezelfde dag nog een advertentie van de Apenheul langs op Facebook, 2x android en 1x iPhone.
Toch betwijfel ik erg of dit waar is, zeker met een smartphone. Viel de advertentie niet toevallig op omdat je er zo op gefixeerd bent, of hebben je vrienden er zelf iets over opgezocht.
Dit is mij helaas ook gebeurd met een onderwerp waar ik 100% zeker niks van opgezocht had. Zou wel erg toevallig zijn..

In mijn voorbeeld vertelde iemand over een vakantie in een bepaalde stad die ik niet kende. Ik kreeg daarna reclame van Correndon geloof ik. Edit: over die stad..

Nou had ik vroeger ook apps als Google Opinion Rewards. Weet niet zeker of ik dat toen ook had.

[Reactie gewijzigd door Zenomyscus op 23 juli 2019 19:38]

Zou wel erg toevallig zijn..
Zo toevallig is dit niet, de frequentie-illusie (ook wel het Baader-Meinhof-fenomeen) zegt juist dat de kans heel groot is dat zoiets je opvalt nadat je er voor het eerst over hebt gehoord.

Dat staat nog los van de mogelijkheid dat de persoon gekozen heeft voor een reis naar die stad omdat deze op dat moment relatief goedkoop was door een marketingcampagne die er uiteindelijk ook voor heeft gezorgd dat jij die reclame voorgeschoteld kreeg.
Het lijkt me gewoon waar, kijk maar diep in je instellingen wat de Facebookapp kan. Die wil toegang microfoon en zelf aan kunnen zetten. Als je hem herinstalleert heb ik zelfs ergens een vinkje kunnen uitzetten " Facebook toestemming geven voor meeluisteren voor verbetering spraakherkenning en meer gerichte advertenties"
Je kunt t ook eenvoudig reproduceren en ik ken ook diverse mensen die dat lukte.

[Reactie gewijzigd door Schrudde op 24 juli 2019 11:38]

het wordt op yt gedemonstreerd.
Die video's ken ik ook, maar in het gros van de filmpjes geeft de maker toe dat het nep is, of op zijn minst dubieus
Een leuk filmpje hierover op NOS Stories.

“AFLUISTEREN en dan ADVERTENTIES?! | De waarheid over online GEVOLGD worden”

https://youtu.be/uRGJXjQz6TA
100% zeker weten meerdere keren bij ons thuis gehad. Alle microfoon privileges zijn ingetrokken op onze telefoons en rara, sindsdien geen gedoe meer. Dan maar minder functionaliteit.
Mensen hebben gewoon niet door hoeveel er uit metadata is af te leiden. Je hebt tijd doorgebracht met iemand die naar X op vakantie is geweest en nu krijg je reclame over X? Daarvoor hoef je echt niets af te luisteren.

In dit artikeltje hebben ze het uitgebreid geprobeerd en niets gevonden: https://gizmodo.com/these...ng-whether-you-1826961188
Nee, we hadden het over dit omdat het ter sprake kwam en toen hebben we een random item gepakt. Geen van ons had dit ingetoetst op de telefoon of wat dan ook. En geloof me, de Apenheul is niet iets wat ons ook maar iets interesseerde, maar we kwamen erop omdat een van de jongens een banaan aan het eten was.

Geen bullshit, die apps luisteren echt mee.
Als het waar was was dit al lang feitelijk aangetoond. Als Google, Apple of Facebook zonder toestemming opnames maken was er zeker een wereldwijd schandaal geweest. Als u toevallig reclame van de Apenheul kreeg dan was dit gebaseerd op voorspellingen en niet op basis van stemherkenning. Omdat u zo gefixeerd bent op de Apenheul dan is het eenvoudig om tot een onjuiste conclusie te komen wanneer u een advertentie van de Apenheul ziet.

Ik weet niet of u in bezit bent van een Google Home? Google is een van de grootste in home assistants en desondanks is de kwaliteit van stemherkenning op dit moment nog zeer teleurstellend.

Denkt u serieus dat deze partij'en continu 24/7 een data stream open hebben staan naar haar datacenters? Realtime elk geluid door sturen, vervolgens analyseren om u vervolgens 1 advertentie van de Apenheul aan te kunnen bieden?

Dit zal ongetwijfeld gebeuren in de toekomst, maar ik zie het dit jaar nog niet op grote schaal gebeuren, niet voordat de technologie verder ontwikkeld is.

[Reactie gewijzigd door mmjjb op 23 juli 2019 22:04]

Probeer het zelf maar eens, zet je adblockers uit en verbaas jezelf.
Ik heb geen ad-blocker geïnstalleerd op mijn telefoons, Android & iPhone.
Dan kan je die stap overslaan :)
Ze "lezen" niet echt mee. Ze vissen naar metadata of keywords :).
Misschien wel, misschien niet. Ik zou hier graag gedegen onderzoek naar zien. Dit zijn te veel "van horen zeggen" verhalen. Als dit zo is, waarom krijg je dan nog 3 weken na het kopen van een nieuwe tv reclame voor televisies?
Mooi onderwerp voor Tweakers.net zou ik zeggen. ;) Heeft t.net ook eens een primeur in deze hoek.
Juist omdat je het op dat moment zoveel hebt over het keyword "nieuwe tv".
Dit soort activiteiten gebeuren via Google of Facebook. Ik heb ooit een gesprek gehad met een collega over trapbekleding terwijl ik 100% zeker nooit erover heb gezocht op internet. Diezelfde middag kreeg ik in de Google overal ads voorgeschoteld van trapbekleding. Dit is een beetje te specifiek voor toeval. Google en Facebook luisteren 24/7 mee op je telefoon. Daarbij gaat het bij Facebook uiteraard nog een tikkie verder omdat hun ook alles wat je aan berichten verstuurd nog lezen en opslaan of doorverkopen. Je typt ergens je adres aan iemand en ze hebben het. Vervolgens app je je vriendin dat je auto een apk moet hebben en dat je een afspraak hebt gemaakt en hoppa dag later ligt er een folder op de mat... zo vreemd is het niet. Dit hoeft echt niet perse via een autodealer of het rdw te lopen. We dumpen tegenwoordig alles op internet. Daar vallen al je Whatsapp berichten en foto's die je verstuurd gewoon ook onder. Hoe denk je anders dat Facebook je Whatsapp service voor niks kan aanbieden?

Ik vind het echt hilarisch als diensten als Whatsapp roepen dat je berichten verkeer encrypted is. Net of je je ook maar ergens zorgen moet maken dat iemand met een afluister apparaatje je schaaltje oppikt om het vervolgens te gebruiken. Je moet je veel meer zorgen maken over degene die de sleutel verzorgt voor deze encryptie. Whatsapp kan alles prima mee lezen wat je stuurt. Je moet wel heel naïef zijn als je denkt dat alles wat je op je telefoon doet niet doorgespeeld wordt naar derden.. Google heeft alles wat in Android zit zelf zo geschreven. Geloof maar dat echt alles wat je doet op je telefoon wordt doorgestuurd naar de servers.
Hoe weet je nou zeker dat het apps/diensten van Google of Facebook zijn?

Heb je al je andere apps van je telefoon eraf gegooid?

En de zogenaamde "driver-helper"-apps die van de smartphone-vendor en hardware-vendors komen uitgeschakeld?
Dit soort activiteiten gebeuren via Google of Facebook. Ik heb ooit een gesprek gehad met een collega over trapbekleding terwijl ik 100% zeker nooit erover heb gezocht op internet. Diezelfde middag kreeg ik in de Google overal ads voorgeschoteld van trapbekleding. Dit is een beetje te specifiek voor toeval. Google en Facebook luisteren 24/7 mee op je telefoon.
Anderzijds, hoeveel aandacht geef jij aan een reclame over trapbekleding als het niet toevallig net relevant is (geweest) in je leven? Hoe opvallend vind je dan dat je die reclame krijgt? Waarschijnlijk registreert het niet eens.

Als je nu een bepaald model auto koopt verbaas je je ook opeens over de hoeveelheid ervan die rondrijden op de weg. Denk je dan ook dat die mensen allemaal die auto hebben gekocht omdat ze je hebben afgeluisterd?
Onbegrijpelijk waarom RDW persoonsgegevens opslaat bij kentekens. De overheid is zo ingedeeld dat alleen het BSN van de eigenaar voldoende is. Als je wil weten van wie een BSN is kan je terecht bij de BRP. Op deze manier is de identiteit van voertuigeigenaren beter beschermd. (maar in Veendam weten ze het natuurlijk weer beter)
Met een BSN wordt alleen gewerkt binnen de overheid. Het is verboden te werken met een BSN nummer, tenzij het bedrijf daarvoor een vrijstelling heeft. Het kan zelfs zijn dat een bedrijf een vrijstelling heeft, echter het BSN niet mag gebruiken voor het zoeken op BSN nummer. Denk aan bijvoorbeeld een bedrijf dat bepaalde zorg declaraties verwerkt.
Het BSN is ontworpen om de persoonsgegevens af te schermen. BRP bevat al de persoonsgegevens en is goed beveiligd. Het BSN is voor andere basis registraties een verwijzing (soort foreign key) naar de BRP. Aangezien bij het aanschaffen van een voertuig het rijbewijs als geldige identificatie gebruikt wordt kan het BSN daarvan overgenomen worden om de eigenaar te bepalen.

Doodat het BRV, naast het BSN, ook persoonsgegevens opslaat ontstaat een extra mogelijkheid tot diefstal van deze privé gegevens.
Aansprakelijk stellen van een onbekende tegenpartij, waarbij dan alleen het kenteken bekent is.... Dan wordt om verhaal te halen de naw gegevens geraadpleegd. Dit mag overigens alleen een schadebehandelaar met dossier opbouw.
En toch zijn die boetes goed. Wat je vergeet is dat elke instelling een budget heeft om bepaalde doelstellingen te behalen. Dat wordt lastiger als je als organisatie een boete krijgt..
APK datum staat gewoon op ovi.rdw.nl
Kan iedereen raadplegen aangezien het openbaar goed is en geen persoonsgegeven is maar, informatie over het voertuig zelf.
Hoe illegaal is het om te kopen? Ik snap dat het inzien niet mag, maar is het kopen ook strafbaar?
[ik vraag dit voor een vriend :P ]
Het kopen van gestolen goederen/data is heling en dat is strafbaar. Je kon immers weten dat het om gestolen waar ging.
Behlave als de overheid het koopt zoals met die buitenlandse rekeningen overzichten die daadwerkelijk gestolen waren en daarna door de belastingdienst aangekocht werden

https://financieel.infonu...zwart-geld-luxemburg.html
Het artikel van iumentis uit 2018 verwijst nou net niet naar Sr 139g. Dat is het artikel waar het om draait.
https://wetten.overheid.n...z=2019-04-01&g=2019-04-01

139g is sinds 1 maart 2019 toegevoegd in de Wet Computercriminaliteit III (waar ook het hacken door de politie wordt toegestaan), omdat 139e in de praktijk niet leek te werken. De Hoge Raad heeft eerder namelijk vastgesteld dat gegevens niet zondermeer als goederen kunnen worden aangemerkt, en de heler moest zelf betrokken zijn bij de verwerving ervan.

139g “repareert” dat probleem, waardoor het verspreiden van gegevens uit illegale bron strafbaar is, ook al was je niet betrokken bij de verwerving ervan. Tenzij de OvJ en de rechter vindt dat je ter goeder trouw handelde, dan hoeft het niet ten laste worden gelegd, cq. kan je daarvan worden vrijgesproken.

Het is interessant om te weten of de data vóór of na 1 maart zijn aangeboden. Als het artikel verwijst naar de recente maanden dus erna.
(edit: laatste twee zinnen toegevoegd)

[Reactie gewijzigd door Palo Alto op 23 juli 2019 16:23]

Vertel je vriend dat het kopen van illigaal verkregen informatie ook strafbaar is. Je weet immers dat wat je koopt niet legaal verkregen is.
Daar is een term voor bedacht: Heling.
Ja want het is heling.
Lijkt me toch heel gemakkelijk te traceren. Je koopt een paar keer gegevens en kijkt na wie ze opgevraagd heeft?
Tja, dan moet je nog wel weten welke instantie er gebruik van maakt.
Ons organisatie maakt ook gebruik van RDW database, maar wij loggen niet in met een specifiek gebruiksnaam. Iemand daadwerkelijk aansprakelijk te stellen is dus binnen ons organisatie niet heel makkelijk.
Dan is het toch simpel? De hele organisatie is aansprakelijk, hoe ze het verder intern uitvechten is aan hen.
Ja, dat zou kunnen. Ik bedoelde meer op specifiek persoon.
Technisch gezien zouden ze alle gebruikers moeten loggen.
Dus een organisatie moet zich ook aanmelden met een username en password.
Als dit niet gaat, omdat meerdere mensen van dezelfde machine gebruik maken, zou het bedrijf hier een oplossing op moeten bedenken.
Aangezien een organisatie die gebruik maakt van een user/pass om in de RDW database te komen, verantwoordelijk is voor alle zoek-acties, lijkt mij dat RDW de schuld zou kunnen afschuiven op het bedrijf waar de lek is veroorzaakt.
RDW kan ook niet ruiken wie er met de gegevens zoek-acties uitvoeren, en of dit wel legitiem gebeurd, sowieso kunnen ze wel zien welke organisatie op welk tijdstip dit doet, en dan zou het bedrijf waar de lek geconstateerd is, kunnen nalopen welke mensen toegang hadden tot de machine op dat moment.

[Reactie gewijzigd door Power2All op 23 juli 2019 15:38]

Niet helemaal mee eens. Het is een tweetrapsraket.

Het RDW moet kunnen laten zien wanneer door wie (welke instantie) een kenteken is opgevraagd. Vervolgens moet de instantie uitleggen wie binnen de instantie dat kenteken heeft opgevraagd en verklaren waarom die informatie uiteindelijk verkocht is.
Volgens mij zei ik dat al met mijn laatste zin.
Maar klopt, maar ze horen beiden de AVG te volgen.
Als er geen correct logging is van een van de twee, is dat al een inbreuk.
Eens en dan kunnen ze een boete verwachten net als het Haga ziekenhuis. En stel dat bepaalde adressen bezocht zijn n.a.v. dergelijke informatie dan zal dat neem ik aan vergaande consequenties hebben op moment de informatie voor geld is verhandeld.
Daarom is 2fa authenticatie ook nog handig. Want dan kun je als medewerker niet zeggen : Ben gephished dan heb je of : je gegevens afgegeven of bedrijf heeft slechts 1 account en gebruiken allemaal dezelfde login code .... zou niet verbaasd zijn als het de 2de optie is.
Het zou kunnen. Maar dan heeft het bedrijf wat uit te leggen. Ze moeten redelijkerwijs kunnen uitleggen wat er met de gegevens gebeurd is.
Grote vergeetput zijn de backups. Ik kan mij zo voorstellen dat deze data ergens in een backup staat. Is de toegang tot de backups net zo gelogged? En zelfs als dat zo is blijkt er toch nog ergens een al dan niet extra backupje te zijn, ergens in een folder ofzo. Criminelen weten dat ook en dan kan je heel goed overtuigen met euros of erger

[Reactie gewijzigd door divvid op 23 juli 2019 23:19]

En vervolgens de organisatie (tijdelijk) af te sluiten.

Leuk als het lek bij het CJIB zit ;)
Het RDW kan jullie organisatie aansprakelijk stellen. En wie is er op dat moment verantwoordelijk voor de logging? Het klinkt in ieder geval alsof er in jullie organisatie nog even goed naar de AVG moet worden gekeken.
Als de RDW-database niet forceert dat met een specifieke gebruikersnaam inlogt, dan ligt de schuld uiteraard niet bij deze organisatie. Het enige wat deze organisatie in dit geval kan doen, is slechts melden dat het qua informatiebeveiliging niet echt op orde is. Dit laat eerder zien dat de RDW geen volwassenheidsniveau heeft op het gebied van de AVG wat betreft verwerkersovereenkomsten.
Als het RDW een API beschikbaar stelt voor derden dan kunnen zij aan de API sleutel zien wie de gegevens opvraagt. Echter is die API sleutel geen persoon maar een complete organisatie. Het lijkt mij dat je in dat geval als derde partij zelf verantwoordelijkheid neemt over de gegevens die je via de API worden aangeleverd.

Ik heb natuurlijk geen idee hoe het RDW systeem werkt. Bovenstaande is maar een voorbeeld om aan te geven dat het RDW vast niet iedere gebruiker zelf hoeft te kennen.

[Reactie gewijzigd door 3raser op 23 juli 2019 15:41]

Nog een stap verder. Vanuit de AVG moet je tevens beschikken over de minimale hoeveelheid gegevens. Buiten politie en belasting om, wie zou er om welke redenen gebruik moeten kunnen maken van NAW en telefoongegevens welke gekoppeld zijn aan kentekens? Ik heb nooit toestemming gegeven mij te benaderen voor reclame e.d., dus dat zullen de redenen niet zijn.
Bij voorbeeld verzekeringsmaatschappijen om te controleren of jij wel de eigenaar van auto x bent als je iets claimt. Deurwaarders en curatoren bij het afhandelen van schulden. Autoverkopers om te controleren of een auto wel van de persoon die hem wil verkopen is. etc. etc.
Klopt, echter moeten we zoiets toch kunnen ondervangen;

Als je alleen eenkenteken hebt: alleen basis info. (Auto gegevens)
En als je adresgegevens wilt opvragen, moet je bijvoorbeeld de geboortedatum of een andere variabele kunnen aanleveren die je niet kunt herleiden als je alleen het kenteken hebt.

En wat ik mij nu afvraag; Zou je als eigenaar van het kenteken recht hebben op inzage wie mijn gegevens heeft opgevraagd? Dat staat tenslotte wel in de AVG zo vastgelegd.
Er zijn systemen waarbij je bij het aanroepen een reden moet opgeven voor welk doel informatie wordt geraadpleegd.
Ik snap je standpunt - als derde partij de verantwoordelijkheid nemen over de gegevens die jou wordt aangeleverd - welke ik uiteraard deel. Echter ga je met de stelling wel voorbij aan het feit dat veel organisaties dit niet kunnen/willen/weten. Als er onvoldoende of zelfs geen aandacht is gegaan naar logical access en logging en monitoring processen, zijn organisaties zich niet bewust van het feit dat het beter zou zijn wanneer zij dit soort zaken m.b.t. access wel inzichtelijk maken.

Binnen de informatiebeveiliging waar ik in werk merk ik op dat veel organisaties zich compleet niet bewust zijn van dit soort zaken, waardoor de, in dit geval, derde partij geen inzicht heeft in wie vraagt welke gegevens op en op basis van welke gegronde reden. Veel organisaties zijn al blij dat ze eenvoudig toegang krijgen en zullen in hun ogen geen extra maatregelen willen implementeren 'voor het geval dat'.

In dit geval vind ik dat beide partijen verantwoordelijk zijn, maar wel RDW eindverantwoordelijke, gezien zij eigenaar zijn van de data. Als bedrijf zou ik nooit een API willen opstellen zonder aanvullende datastromen inzichtelijk te maken.
Bij een van mijn klanten wordt ook ingelogd bij de RDW. Dit gebeurt dmv een browser certificaat. Het certificaat is dus specifiek voor het bedrijf. Daardoor is het dus niet eenvoudig tot op de persoon te traceren, maar wel op bedrijf.
Iemand daadwerkelijk aansprakelijk te stellen is dus binnen ons organisatie niet heel makkelijk.

Ongetwijfeld waar, maar dat is dus jullie probleem. Zowel juridisch als moreel. Jullie kunnen bijvoorbeeld weer loggen bij de gebruikte software. Dat jullie bedrijf geen misbruik mag maken, staat bovendien zelfs in de voorwaarden van gebruik van de RDW database.

RDW sluit hopelijk bedrijven domweg af waar men iet de individuen kan aanpakken en misbruik blijft voorkomen.
Zo simpel lijkt het, maar dat is het niet.

Een account zegt namelijk helemaal niets van wie er wérkelijk achter de knoppen zit. Zo'n medewerker die met foute dingen bezig is weet dat zelf verdomde goed. Die 'leent' natuurlijk wel een wachtwoord van een collega.
Bewijs is een stuk lastiger dan een accountje in een log.

'tuurlijk moet men voorzichtig zijn met wachtwoorden, maar ga maar na: hoeveel wachtwoorden van anderen weet jij zelf wel niet ?
maar ga maar na: hoeveel wachtwoorden van anderen weet jij zelf wel niet ?
uh.. Geen?
Nu snap ik dat ik geen gemiddelde Nederlander ben, maar om nu te veronderstellen dat iedereen gemiddeld - pak 'm beet - 3 wachtwoorden van andere personen weet, lijkt me erg onwaarschijnlijk..
kijk eens onder/achter het toetsenbord (hint : geel en kleverig)
Binnen een gezin en hechte vrienden/familie worden wachtwoorden ook buiten de Tweakers en masse gedeeld. Ik ken maar weinig gezinnen waar men van elkaar de standaard wachtwoordjes niet weet.
Zo simpel is het wel. Daar is 2-staps authenticatie voor uitgevonden.

Dat dit niet is doorgevoerd is wat anders, maar accounts zijn tegenwoordig heel goed 'persoonlijk gekoppeld' te maken.
Ook zonder 2FA: je bent verantwoordelijk voor jouw account. Als iemand jouw gegevens heeft gekregen en die gebruikt om illegale zaken te doen ligt er toch echt een verantwoordelijkheid bij jou!
Waarschijnlijk kom je er redelijk goed vanaf als je vervolgens met puppy-ogen vertelt dat je dit nooit verwacht had van X.
Helemaal mee eens! Maar 2-staps authenticatie maakt je verhaal wel wat lastiger uit te leggen.

'Ja Jantje zat toevallig ooook op mijn telefoon'.

Probleem is dat velen die achter de PC zitten de consequenties vaak niet goed inschatten, en een hacker kan een keylogger plaatsen op de pc.

Bij 2-staps authenticatie kan je er gewoon zeker van zijn dat diegene is die hij zegt dat ie is.

Tenzij een sysadmin bezig is geweest natuurlijk :X }>
Afhankelijk van de gekozen 2FA is er mogelijk nog steeds geen zekerheid dat iemand is die hij zegt dat hij is. Hardware tokens bijv.
Denk aan een yubikey, securid en dergelijke, als die op een afdeling slingeren of in een la liggen dan kan zo'n ding algemeen gebruikt worden en weet je nog steeds niet wie er achter de knoppen zit.
Je hebt gelijk, ik dacht enkel aan telefoon. Dat is de enige 2FA die ik zelf nog gebruik. Blij dat ik van die tokens af ben.
Het RDW zegt wel te loggen wie toegang heeft tot de gegevens, maar is op dit moment nog met een onderzoek bezig.
Als ze loggen wie toegang heeft, kan dat ook betekenen: op datum X heeft persoon A toegang gekregen en op datum Y heeft die persoon geen toegang meer. Het hoeft nog niet te betekenen dat elke individuele raadpleging ook gelogd wordt. Je zou hopen van wel natuurlijk, maar als daar bij het ontwerp van het systeem geen rekening mee is gehouden dan is dat niet zo 1,2,3 geregeld.
Is niet altijd te zien. Externe partijen maken gebruik van certificaten en/of accounts voor de hele organisatie, niet elke medewerker krijgt zijn eigen account. De RDW ziet dan dat instantie X voertuig Y raadpleegt maar niet welke medewerker van die instantie dat doet.
Dan nog kunnen ze het bedrijf berispen, en dat bedrijf kan nalopen welke droplul de zoekactie heeft gedaan.
Als dit op geen enkele wijze gelogged wordt, is dat best wel merkwaardig, aangezien er een AVG op gehandeld moet worden tegenwoordig, omdat het om privacy gevoelige informatie gaat.
Anders ben ik bang dat dit een vette boete kan gaan worden, voor zowel RDW als de organisatie(s) waar de lekkage gebeurd is.
Als het zo is dat het lek bij een derde ligt kan de RDW daar weinig aan doen.

Zij hoeven enkel te achterhalen welk bedrijf het is en ze aansprakelijk stellen. Dit kan dus ook inhouden opschorten van toegang en juridische aansprakelijkheid.
Ik mag hopen dat het RDW hierin zelf niet groot vrijuit gaat. Je moet een systeem ontwikkelen waarin dit simpelweg niet kan.
Externe koppelingen moeten via gecertificeerde systemen lopen waarin een van de gecertificeerde onderdelen is dat gebruikeraccounts op de persoon werken. Zo moeilijk hoeft dat niet te zijn heden ten dage
En hoe wil je moedwillig misbruik van geautoriseerde personen tegen gaan. Dit hoeft niet direct om een datalek te gaan. Al heb je honderdfactor autorisatie als een persoon met de rechten bewust misbruik maakt kun je geen enkel systeem daar tegen beveiligen, enkel pogen detectie in te bouwen.
Wanneer je moedwillig dat doet terwijl je in dienst bent van bijvoorbeeld de overheid dan heet dat corruptie met alle strafrechtelijke mogelijkheden.
Misbruik je het vanuit een gelieerde partij dan mag ook dat strafrechtelijke vervolging optreden EN tevens het bedrijf sanctioneren met mogelijk gevolg tot intrekken van licentie.

[Reactie gewijzigd door Floor op 23 juli 2019 16:29]

Dat gebeurt ook al, echter krijgt het RDW erkende bedrijf een account en niet elke specifieke werknemer van dat bedrijf. Dat zou ook een achterlijk duur en onhandig systeem worden als je bekijkt hoeveel instanties klant zijn van de RDW en hoeveel mensen weer werkzaam zijn bij die instanties en hoe vaak mensen komen en gaan.

De verantwoordelijkheid voor het opvragen van gegevens ligt bij het RDW erkende bedrijf, als daar mensen werken die zich niet aan de regels houden wordt het bedrijf daarvoor aansprakelijk gesteld.
Sorry maar dat is onzin. Het hoeft niet achterlijk duur te worden maar wel goed opgezet en beheert. Je hebt het hier niet over een hobby website maar een kerntaak van het RDW.
deze persoon is verantwoordelijk voor zoekopdrachten en deze persoon heeft dan ook de bewijslast wie die opdracht heeft uitgevoerd als zij claimt het zelf niet geweest te zijn.

In veel bedrijven zullen ze de inloggegevens bij de computer leggen of in de computer opslaan, maar dat wil niet zeggen dat er opeens niemand verantwoordelijk voor is. Dit is een risico wat de verantwoordelijke neemt, danwel door gemakzucht danwel door een gebrek aan kennis.
Als het zo is dat het lek bij een derde ligt kan de RDW daar weinig aan doen.

Blokkeren van de 3e. Zo simpel ligt het.
Oh, dat is best simpel ja... dat niemand daar nog op gekomen is!
Je hebt gelijk, mijn reactie was wat cynisch zonder toelichting.

Maar mijn frustratie is dat enerzijds roepen we dat privacy zo belangrijk is, maar anderzijds als overheid houd men zich er zelf vaak niet aan, en laat gewoon allerlei 3e organisaties direct toegang hebben tot databases, en rekt zelf regels op. Denk aan de belastingdienst die niet aan de AVG voldoet. Ja, daar zijn oprechte moeilijke problemen, maar de rest van Nederland heeft soms ook oprechte moeilijke problemen en moet zich er wel gewoon aan houden.

En bij geconstateerde overtredingen krijgt vaak niemand meer dan een tik op de vingers. Tenminste tenzij er hier wel strenge straffen volgen, voor zowel de individuen, maar ook gevolgen voor de organisaties (RDW of 3rd party) zelf, kan ik niet anders dan cynisch zijn. Immers juist het streng bestraffen van zowel individuen, maar ook expliciet organisaties is een noodzakelijk afschrikmiddel.

Hoe moet ik als burger anders vertrouwen hebben, als de overheid weer eens wat gegevens wil opslaan?
Zelf heb ik er totaal geen vertrouwen in. Weet je, je kunt inregelen wat je wilt, repressieve maatregelen instellen van hier tot Tokio, maar op het moment dat de belangen groter worden dan de te vereffenen schade, zal het alsnog gebeuren.

En vooral de politiek is daar nogal sterk in, want die veranderen gewoon de regels als het hen uitkomt.

Het is allemaal schijnveiligheid. En natuurlijk, de GDPR legt de lat wat hoger zodat niet elke boerenl*l erbij kan/mag/wil. Dat is dan de winst, voor wat het waard is.
En nu is die 3e partij de politie. En dan? Het enige wat ze kunnen doen is vinden waar het lek zich bevindt (oftewel welke personen hierbij betrokken zijn) en dan die personen aanpakken.
Dat is ook de reden waarom ze bij ons al langer bezig zijn dat soort "generieke" accounts op te doeken en te vervangen voor persoonlijke (traceerbare) accounts.
Helaas is het niet altijd onontkoombaar dat er dergelijke accounts nodig zijn.
Uiteindelijk draait het altijd op een database of mainframe whatever.

Gewoon als sysadmin een dump van de database nemen en hopla zoeken maar. Desnoods draait je in testomgeving een copietje ergens :D

Vroeger op de overheid werd elke opzoeking gelogd als je via de interface werkte. Deed je gewoon de queries op de database / mainframe. Niemand merkt wat.
als de sysadmin het doet is het een heel groot probleem.
Zeker op een midrange of mainframe laad je niet even een copy (produktie) database op een testomgeving. Ook niet als DBA. (Tenminste niet in een fatsoenlijke organisatie). Even ftp'en of copy file gaat niet zomaar. En het feit dat je een dump maakt wil niet inhouden dat je ook die dump kan benaderen.

SQL laten draaien voor medewerkers op een productieserver valt buiten mijn definitie van een fatsoenlijke organisatie. Dat doe je niet. In geval van nood, schrijf je even een query en die gaat dan via de nood-procedure naar productie, netjes gelogd.
Bedrijven die wel enig besef van security hebben die hebben al een jaar of 10 dit onmogelijk gemaakt.
Een sysadmin kan niet 'in' de database en die staat encrypted op schijf. Een DBA kan wel in de database, maar is dus geen sysadmin en kan dus niet ongelogd de data ophalen.
Dan moeten dus 2 mensen al samenwerken om de gegevens te bemachtigen. En met nog wat technische ingrepen is dat prima te verhogen tot 3 of 4.
En als je je DB via een cloud oplossing draait dan heb je geen sysadmin meer.

En ik hoop echt dat er nu in NL niemand meer is die EPV/AVG gevoelige testdata gebruikt.
Via cloud wordt het idd iets moeilijker maar overheid draait alles liever “lokaal”.

Btw sysadmin staat iets hoger op het trapje dan Dba, de sysadmin kan gewoon onder mom van server herstart voor updates gewoon database in single user mode draaien en hupla. Kan die zoveel dba accounts aanmaken als die wil of whatever.

Wees gerust, als sysadmin (iemand met admin/root rechten op de server) doet wat die wil...

1 persoon is genoeg om alles te lezen of om zeep te helpen:P maar spreek je al op criminaliteit op hoogste niveau.

Nu is het wss gewoon een medewerker die het paswoord van een andere gebruiker kent, of domweg zijn eigen paswoord gebruikt’
Als je sysadmin ook je 'god user' is, tja, dan is er geen houden aan.

Maar updates op een server doen? No way.
Gewoon een volledig gescripte install /deploy met de laatste versie. En bij geclusterde systemen komt er gewoon een nieuwe up2date node bij en gaat er een oude node down.
Hoeft er niet eens iemand op de machine te komen.

Elke handeling die handmatig gedaan moet worden is een risico, zowel qua beveiliging als qua stabiliteit. Want hoe controleer je dat 20x dezelfde actie is uitgevoerd, op je hele OTAP straat?

Het kan prima, maar zodra de sysadmin 'het wel even gauw doet', dan weet je dat het foute boel is.
En voor die grote verstoring en NU NU actie? 4-ogen principe. Je wilt namelijk ook geen 'oeps' momentje op dat moment. En dan kun je die root keys wel een keer geven, die 24 uur later weer veranderen.
Ze zullen waarschijnlijk paar externen moeten inhuren (overheid +IT ;))
Nadat een commissie besloten heeft wie en welke opdracht enzo :z

Maar, met de uitspraak van het Haga ziekenhuis vers in het achterhoofd denk ik dan: kom er maar in met die boete!
Dan gaan we een overheidsinstantie een boete laten betalen aan de overheid.... auw.
Ja, dat moeten we zeker doen. De boete voor het Haga ziekenhuis heeft directe gevolgen voor de bonus van de directeur. En dat doet toch pijn..

Maar wat mij betreft mag er best wetgeving komen voor (semi) overheids instellingen welke stelt dat boetes betaald moeten worden door de directie. Bij allen wordt dan bijvoorbeeld 10% loon ingehouden totdat de boete uiteindelijk is betaald.. Bij derde incident dient de directie vervangen te worden anders stop financiering van de overheid.

Moet jij eens opletten hoe snel die instellingen dan ineens zwaar beveiligde systemen krijgen waar men bij Norad nog jaloers op is..
Moet jij eens opletten hoe snel die instellingen dan ineens zwaar beveiligde systemen krijgen waar men bij Norad nog jaloers op is..
Verantwoording bij de overheid .....in yr dreams.
Dat zal nooit worden toegelaten door de vakbonden.
Dat zou op zich kunnen werken tot de bestuurders op zijn.
Wil jij werken bij de overheid, met risico op een boete door incompetentie van een ander, als je in het bedrijfsleven veel meer verdient?
Elk rondje is anders :+
Maar wel elk rondje wordt door ons betaald.
Ja, want met een boete los je de oorzaak van het probleem prima op!!
Je weet dat de meeste projecten die falen bij de overheid gebeurt door externen :+
En terecht, want daarna heb je weer externen nodig om orde op zaken te stellen... #neverendingstory
Ja, 100% zeker. Want je wilt niet de kans lopen dat iemand van de vaste mensen het merkt. Als het een beetje degelijk systeem is worden alle raadplegingen gelogged maar als je DBA de dader is zal hij gewoon af en toe een query runnen. Kan heel ingewikkeld worden maar meestal zijn het niet goedbetaalde DBA'rs die dit soort dingen doen maar mensen op plekken die niet eens beseffen dat logging alles bij houdt en dat het in 2 clicks naar boven te halen is. Ik weet er van in elk geval 1, 20:00 gebouw betreden alsof je voortvluchtig bent en zorgen dat niemand je ziet. Cloak & Dagger.

Maar meestal is een goed logsysteem inderdaad meer dan voldoende om de mogelijke daders aan te wijzen. Daarom is het zo irritant in sommige systemen waar mensen uit gemak een login delen, dus 1 iemand logged in op de console en de hele afdeling (Ziekenhuis) werkt met die account. omdat het gewoon heel praktisch is om niet voor elke poep en zucht opnieuw te moeten inloggen. Met de RFID zal het tegenwoordig allemaal wel een stuk beter geregeld zijn.
Uit betrouwbare bron (die anoniem wenst te blijven) vernomen: De persoonsgegevens en de (vrij opvraagbare) voertuigdata staan niet in één database. Persoonsgegevens zijn via een versleutelde key gelinked aan de voertuigdata.
Zelfs een DBA kan er dus niet bij zonder dat hij over de sleutel beschikt, of via de UI aan het zoeken is geslagen (en dan wordt het dus gelogd).

Als het een beetje handig in elkaar gezet is zit de logging ook op databaseniveau (SELECT Autos WHERE Owner = @MrMonkE wordt dan dus ook gelogd), en zitten er ook stored procedures die loggen op het aan- en uitzetten van stored procedures.

[Reactie gewijzigd door kakanox op 26 juli 2019 13:35]

Lijkt mij ook. Je weet toch welk kenteken ze natrekken. En het zal ook vast niet zo zijn dat ieder kenteken in Nederland dagelijks wordt opgevraagd dus als er een hit is dan moet dat wel de verkoper van de data zijn.

Maar ja, nu het in het nieuws is geweest zal dat niet meer mee vallen. De handel ligt nu even stil lijkt me.
Nou ja, volgens mij is het RDW ook de bron voor kenteken herkenning via camera's op snelwegen, dus het zou best kunnen dat er heel veel verzoeken komen iedere dag... maar dit is een gok natuurlijk, niet gebaseerd op enige achtergrond informatie.
Dan nog is het eenvoudig om er een kenteken uit te halen waarvan je weet dat die vrijwel nooit zomaar opgevraagd zou worden. Neem bijvoorbeeld een oldtimer die amper op de weg komt.
Maar zoals anderen hier al aangeven wordt de complete dataset misschien ook wel aan derden verstrekt zodat het RDW dit zelf helemaal niet kan loggen. Die derde partij zou dit dan uiteraard wel zelf moeten waarborgen.
En het zal ook vast niet zo zijn dat ieder kenteken in Nederland dagelijks wordt opgevraagd dus als er een hit is dan moet dat wel de verkoper van de data zijn.
Of je maakt speciaal een kenteken dat niet gekoppeld is aan een echte burger maar alleen maar om te kunnen loggen wie het opvraagt.
Misschien is de hele RDW database al wel door iemand gejat en zoekt diegene lekker lokaal de gegevens op zonder dat de RDW er weet van heeft. Je weet het niet... Het zou kunnen.
En zo wordt je dure BMW/Mercedes/Whatever gestolen. Je kan via RDWData precies zien welke uitvoering welk kenteken heeft en met deze "dienst" weet je ook waar de auto ongeveer geparkeerd staat. Hoef je hem alleen nog maar leeg te halen.
klopt, is zelfs zo goed als open...
https://opendata.rdw.nl/Voertuigen/Ferrari/pmhw-w82q

Paar mooie auto`s uitzoeken op opendata.rdw.nl, kentekengegevens kopen op telegram en gaan met die banaan....

[Reactie gewijzigd door j3r op 23 juli 2019 15:45]

Op voertuig.net kun je filteren op tientallen eigenschappen, zoals een rode Ferrari 360.

De RDW publiceert al enkele jaren alle kenteken gegevens als open data. Tweakers schrijft dat het gaat over 11,5 miljoen kentekens; nee, het zijn er meer dan 14 miljoen. Waarvan een deel geëxporteerd is.

Kenteken gegevens op zich zijn niet privacy-gevoelig, het gaat immers over een voertuig en niet over de eigenaar. Het probleem is dat de RDW aan de ene kant wel innovatief is met open data, maar aan de andere kant nog gebruik maakt van Windows 95 en SOAP.

Blijkbaar zijn er nu corrupte medewerkers die NAW gegevens doorverkopen. Een kwalijke zaak.

Nederland is trouwens ook het enige land waar kenteken gegevens openbaar beschikbaar is. Dat komt omdat het kenteken bij een voertuig hoort, en niet bij een persoon. In bijna alle andere Europese landen is dat wel het geval. In Zweden kun je trouwens wel de NAW gegevens van iemand vinden aan de hand van een kenteken, die gegevens zijn openbaar.

Disclaimer: ik ben de ontwikkelaar van voertuig.net
Kun je ons eens gedetailleerd uitleggen wat er zo onveilig is aan SOAP???

Ik ben wel heeeeel benieuwd!!
De combinatie van verouderde systemen met SOAP calls waarbij je in plaintext je username en password terugkrijgt bij elke call is nou niet echt het hoogtepunt van veiligheid.
Maar dat is niet inherent aan soap. Dat is gewoon de keuze om voor http te gaan, in plaats van SSL/TLS.

Tevens een ontwerpkeuze om telkens uid/pwd retour te geven...niet erg slim, maar heeft niets met het concept SOAP te maken.
Je kunt via https://ovi.rdw.nl/ een redelijk beeld van een auto krijgen (model, type, motor, fiscale waarde) maar welke exacte opties aanwezig zijn kun je bijvoorbeeld niet zien.

Fiscale waarde geeft overigens wel een redelijk beeld natuurlijk.
Ik wil weten of de gegevens van mij en mijn partner ook verkocht zijn.
Ik vind dat dit mijn recht is als van rijkswege verplicht consument.
En zo ja, dan wil ik een passende oplossing in de vorm van een ander kenteken.
Hier sluit ik mij ook bij aan. Zeker wanneer je een diefstal gevoelig voertuig hebt (luxe auto, motor, special edition, klassieker, camper, aanhanger, o.i.d.) kan dit erge nadelige gevolgen hebben. Daarnaast kunnen criminelen de info niet enkel gebruiken om een geschikt moment te zoeken om het voertuig te stelen maar weten zij ook waar de eigenaar van dit mogelijk "dure" voertuig woont zodat hier in gebroken kan worden (relatie tussen dure auto en veel buit in huis is snel gelegd).
Hier sluit ik mij ook bij aan. Zeker wanneer je een diefstal gevoelig voertuig hebt (luxe auto, motor, special edition, klassieker, camper, aanhanger, o.i.d.) kan dit erge nadelige gevolgen hebben. Daarnaast kunnen criminelen de info niet enkel gebruiken om een geschikt moment te zoeken om het voertuig te stelen maar weten zij ook waar de eigenaar van dit mogelijk "dure" voertuig woont zodat hier in gebroken kan worden (relatie tussen dure auto en veel buit in huis is snel gelegd).
Niet alleen voor diefstal gevoelige voertuigen, maar ook ter bescherming van medewerkers in de jeugdzorg, verslavingszorg, opsporing etc.

Je krijgt bij in dienst treding het verzoek je kenteken gegevens te laten "schrappen" om bezoekjes thuis of incidenten onderweg te voorkomen. Maar wie zegt dat die gegevens intern via het RDW bij de verkopers van de gegevens niet ook gewoon opgevraagd kunnen worden?
Bij ons rijden wij daarom met een zakelijke auto. Uiteraard kunnen ze bij kantoor ook staan te wachten. Maar je hebt gelijk, ook een (groot) gevaar.
Je hebt kenteken AA-01 en jouw gegevens zijn verkocht. Helpt het als je dan een ander kenteken krijgt of kan je beter verhuizen en een andere telefoon nemen ?
Helaas, het wagenpark van de Anonieme Alcoholisten vallen buiten de boot.
Ik had gezien de openingszin iets van bewijs verwacht. Dit kan toch net zo goed een lekke API of een onbeheerd werkstation zijn?

Tuurlijk, corrupte medewerkers is het meest aannemelijke, maar als ik sensatie zoek ga ik wel rechtstreeks naar de comments :X

Edit: bron (RTL) citeert de verkopers. Die zeggen dat de informatie van contacten bij RDW en gemeente komt.

[Reactie gewijzigd door Cio op 23 juli 2019 15:33]

Uiteindelijk zal de informatie bij de RDW vandaan komen. Er zijn echter tientallen diensten die toegang hebben tot de registers van de RDW, van verzekeraars tot curatoren en van garagebedrijven tot andere overheidsinstellingen. Het is zó makkelijk om de RDW dan maar de schuld te geven van dit 'lek' terwijl er een grote kans is dat deze bevraging is gedaan door iemand buiten de organisatie.
Blijkbaar is het voor de gemiddelde Italiaanse gemeente een peulenschil om jouw gegevens bij een kenteken op te vragen ZIE. Ga er maar aanstaan, om te achterhalen wie er met je gegevens vandoor gaat.
Hoe je het ook wendt of keert, blijft de RDW verantwoordelijk voor het beschermen van onze data, IMHO.
Ik vroeg me altijd al af hoe auto-export bedrijven aan mijn gegevens komen. Ik krijg regelmatig van verschillende auto-export bedrijven een geadresseerde brief met de vraag of ik mijn oude auto wil verkopen aan hun. Hoe weten zij dat ik precies dat type auto heb en dat die auto bij mij hoort?
Vraag het op zou ik zeggen:
https://autoriteitpersoon...cyrechten/recht-op-inzage

PostNL is daar in het verleden met hun verhuisservice ook de fout mee ingegaan, ze verkochten je data door. Zie https://gathering.tweaker...message/53455981#53455981. Dit zou inmiddels niet meer moeten gebeuren geloof ik.
Het zinnetje "en een enkele keer ook nog het juiste mobiele telefoonnummer" lijkt me aan te geven dat deze gegevens van binnen de RDW komen. Neem aan dat deze geen onderdeel zijn van de normale RDW dataset die garages kunnen benaderen.
Draai je redenatie eens om zou ik zeggen, want ik vind hem nogal krom.

Als de RDW enkel het wettelijke mandaat heeft voor het beheer van het rijbewijs- en kentekenregister, waarom zouden ze dan baat hebben bij het 06-nummer van een bepaald persoon?
Volgens het artikel van RTL is het 06-nummer achterhaald door iemand die bij een gemeente werkt (en die gemeente heeft weer een koppeling met de registers van de RDW).
Zat aan het contactformulier te denken (https://www.rdw.nl/over-rdw/contact/contactformulier) waar deze o.a. op vermeld kan worden en mogelijk dat dit op andere plekken kan worden ingevuld, heb de procedures van de RDW niet allemaal in kaart.

Zover ik weet heeft de gemeente mijn telefoonnummer niet in het register staan.
Maar had wel over die zin heengelezen :?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True