Minister acht kans op terugvinden kwijtgeraakte hdd's Donorregister klein

Op twee kwijtgeraakte harde schijven stonden gegevens van meer dan zes miljoen Nederlanders die hun donorkeuzeformulieren hadden ingevuld. Minister Hugo de Jonge van Volksgezondheid acht de kans klein dat de schijven nog gevonden worden.

De minister kan in antwoord op Kamervragen niet zeggen hoe lang de externe harddisks vermist zijn. Het CIBG ontdekte de vermissing op 20 februari van dit jaar, maar de laatste keer dat ze gebruikt waren was in 2016. Het CIBG is het uitvoeringsorgaan van het ministerie dat het Nederlandse Donorregister beheert. Het CIBG heeft tot en met 12 maart gezocht naar de schijven maar heeft de zoekactie inmiddels gestaakt. "De schijven zijn niet meer gevonden en ik acht de kans minimaal dat de schijven alsnog op een later moment worden teruggevonden", schrijft de minister.

Op de schijven stonden voor- en achternaam, geslacht, geboortedatum, adresgegevens, donorkeuze,
handtekening en burgerservicenummers van 6,9 miljoen donorformulieren van de periode februari 1998 tot juni 2010. In totaal gaat het om de gegevens van 6.058.250 unieke personen, 'inclusief personen die thans overleden zijn'.

De minister bevestigt in de brief dat de schijven niet beveiligd waren. Uit verder onderzoek moet blijken waarom dat niet gebeurde. De Jonge sluit niet uit dat de schijven in handen van derde partijen zijn gekomen, maar hiervoor zouden nog geen aanwijzingen zijn. Het CIBG zou monitoren of er signalen van misbruik zijn.

De minister acht de kans op misbruik klein omdat het geen hack betreft en er geen aanwijzingen voor diefstal zijn. Ook verwijst De Jonge naar het standpunt van het Centraal meldpunt Identiteitsfraude en -fouten. Dat stelt dat naw-gegevens en geboortedatums 'openbare gegevens' zijn die ook via sociale media of zoekmachines te vinden zijn. De kans op misbruik met het burgerservicenummer is volgens hem klein, 'omdat dit nummer enkel wordt gebruikt bij onder andere de overheid en in de zorgsector'.

Half maart werd het datalek bekendgemaakt. Het CIBG ontdekte de vermissing bij het vernietigen van het papieren archief van het Donorregister. De hdd's met back-ups werden aangemaakt toen het CIBG in 2011 met een digitaliseringsproject startte.

IT-banen

Reacties (209)

arbraxas 1 mei 2020 13:46

De Jonge naar het standpunt van het Centraal meldpunt Identiteitsfraude en -fouten. Dat stelt dat naw-gegevens en geboortedatums 'openbare gegevens' zijn die ook via sociale media of zoekmachines te vinden zijn

Praat jezelf even lekker schoon. Ten eerste zit ik heel weinig op Social media, ten 2e vul ik altijd een verkeerde geboortedatum in etc. Alles waar in niet perse mijn echte gegevens hoef achter te laten doe ik dat ook niet. Verder stonden er ook onbelangrijke dingen als je BSN nummer op die schijven. Echt te schandalig voor woorden dit hoe ze dit proberen weg te zetten als onbelangrijk ongelukje.

Gelukkig hebben we nu de ene na de andere privacy blunder, waardoor de mensen misschien toch de ogen open gaan met de corona app.
Grapperhaus nam alvast een voorschot met het voorstel om gegevens uitwisselen te versoepelen. Wat je weggeeft krijg je niet meer terug.

[Reactie gewijzigd door arbraxas op 25 juli 2024 06:30]

Nas T @arbraxas • 1 mei 2020 14:21

[...]
Gelukkig hebben we nu de ene na de andere privacy blunder, waardoor de mensen misschien toch de ogen open gaan met de corona app.
Grapperhaus nam alvast een voorschot met het voorstel om gegevens uitwisselen te versoepelen. Wat je weggeeft krijg je niet meer terug.

Goed gezegd. We hebben al jaren zoveel voorbeelden hoeveel datahonger de overheid en bedrijven hebben. Jouw data is geld waard. Maar wil je dat daar een dienst of product mee bekostigd wordt, of dat dat als winst eindigt en daarmee een prikkel is om nog meer data te vergaren? En qua overheid: SyRi is een heel mooi voorbeeld. Terwijl het al duidelijk werd dat onschuldige burgers onterecht als fraudeur gekenmerkt worden, toch nog even doorgaan en uiteindelijk teruggefloten worden.

Qua datalekken is het al duidelijk dat de overheid niet voldoende competent is (vind ik) om onze data te bewaren. Tel daarbij op dat data verkeerd wordt gebruikt, zoals in het geval van SyRi en/of dat data met ik vermoed praktisch alle inlichtingendiensten wordt gedeeld en dan twijfel ik niet alleen aan de competentie, maar ook aan de intentie. En dat vind ik eigenlijk nog iets kwalijker. Competentie kan een gevolg zijn van een beperkt budget, intentie niet.

En wat bedrijven betreft: die zijn misschien wat meer competent, maar daar is de intentie al helemaal onjuist. Bij Facebook ben je het product, niet de klant. We vinden het normaal om onze gegevens af te staan voor het "product" of "dienst". Maar naast dat product of die dienst wordt er ook winst gemaakt. Google heeft met Android t/m 2016 22 miljard dollar winst gemaakt op een omzet van 31 miljard (dus >70%) winst). Dat is ook te danken aan onze data. We zijn het zelfs zo gewoon geworden, dat Huawei aan de kant gezet wordt door ons Tweakers omdat het geen Google apps ondersteunt. Terwijl dat juist de rotte appel is qua data.

Een topman van Nokia zei zo'n 10 jaar geleden over Android dat het is alsof je in je broek plast in de winter. En hoe erg klopt het ... we zijn zo verwend met Google dat we de datahonger niet zien of voor lief nemen.

Er zijn overigens best prima alternatieven. Kijk naar wat Fairphone doet met /e/OS. Of Sailfish, die het ondertussen ook al >6 jaar uithoudt en nog steeds updates uitbrengt, gratis native apps heeft, zonder reclame en zonder schending van je privacy. Daarnaast kun je redelijk eenvoudig root-toegang krijgen.

kimborntobewild @Nas T • 3 mei 2020 17:24

Qua datalekken is het al duidelijk dat de overheid niet voldoende competent is (vind ik) om onze data te bewaren.

Er zit echt niet veel verschil tussen overheid en bedrijven, hoor. Ik ken iemand uit het bedrijfsleven. De verhalen die hij ongegeneerd naar buiten bracht... En trouwens, de overheid besteedt meer en meer uit aan bedrijven (en dan zijn het vervolgens die bedrijven die lekken). En sinds wanneer hebben we geen grote lekken bij bedrijven? Er liggen letterlijk honderden miljoenen zo niet miljarden accounts op straat door lekken bij bedrijven.
Het probleem is m.i. dat de straffen te laag zijn. Als er al uberhaupt vervolgd en gestraft wordt. Grote datalekken zoals bij Yahoo zijn afgekocht met moeilijk toegankelijke vergoedingen. Dus nemen zowel mensen bij de overheid als in het bedrijfsleven het niet zo nauw.
Sinds GPDR en AVG is de bewustwording wat groter geworden. Je ziet dus dat het helpt als de pakkans en straffen omhoog gaan. (Al gaat 't mij persoonlijk nog allemaal te slap en veel te langzaam.)

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 06:30]

svane @arbraxas • 1 mei 2020 14:31

Ik weet dat je elke kans aangrijpt om angst te verspreiden over de corona-app, maar deze twee zaken zijn totaal niet te vergelijken.
Er gaat genoeg mis bij de overheid, maar dit is (eindelijk) een voorbeeld van een app waarbij privacy inherent is aan het app-design. Je kan geen data lekken die je niet verzamelt.

arbraxas @svane • 1 mei 2020 14:44

Angst of bewustzijn? En verder vertrouw ik de overheid en app bouwers en hun intenties niet. Elke keer weer zie je dubbele agenda,s. En in dit geval ook nog een minister die het belang en misbruikgevoeligheid van BSN nummers probeert te verdoezelen. Plus alle andere privacy stunten de laatste tijd van onze overheid.

Laat mij maar azijnpissen en "angstzaaien".
Tot nu toe krijg ik elke keer helaas gelijk. Op de 1e positieve verrassing wacht ik nog.

Relatief @arbraxas • 3 mei 2020 10:57

Ik maak me nergens druk om en installeer die app gewoon niet.

arbraxas @Relatief • 3 mei 2020 11:06

De API krijg je hoe dan ook binnen. Het is wachten op een lek in die software en dan zijn de rapen gaar.

Zet ook gelijk je bluetooth uit, want anderen gaan de data graag voor je verzamelen.

[Reactie gewijzigd door arbraxas op 25 juli 2024 06:30]

Relatief @arbraxas • 3 mei 2020 11:07

Ook als ik niet update en mn bluetooth uitzet straks?

kimborntobewild @arbraxas • 3 mei 2020 17:36

Plus alle andere privacy stunten de laatste tijd van onze overheid.

Nogmaals: op dit punt is er weinig verschil tussen overheden en bedrijven. Het verschil is wel dat 't nog veel moeilijker is om overheden aan te klagen dan bedrijven. Dus is de verantwoordelijkheid van overheden groter. Dus moeten ze het goede voorbeeld geven, en niet baggetaliseren zoals Hans de Jonge hier doet: ik vind dat zelfs voldoende reden om hem te laten aftreden.

svane @arbraxas • 1 mei 2020 15:50

De api wordt gemaakt door de makers van 't OS. Het staat je vrij om die niet te vertrouwen, maar waarom heb je dan überhaupt een pc / telefoon?

Dat zijn volwaardige spionage apparaten, met GPS, camera, microfoons, internetverbinding, toegang tot al je documenten, foto's, wachtwoorden. Tenzij je eigen PC uit rauwe grondstoffen gebouwd hebt, en je eigen browser geschreven hebt, heb ik geen idee hoe je nu op Tweakers aan 't posten bent.

Ik snap voornamelijk niet waarom juist zo'n gedocumenteerde API ineens zo veel problemen geeft. Als Apple/Google je wil afluisteren, zouden ze dat dan niet via geheime code doen? En waarom zouden ze dan random-ids afluisteren, in plaats van alle andere persoonlijke data op je apparaat?

DanafromGhana @svane • 1 mei 2020 16:25

Waarom doe jij je huisdeur op slot? Als een crimineel wilt inbreken dan zal dat absoluut geen obstakel zijn. Je hebt het hem welliswaar wat lastiger gemaakt, maar binnen komen kan hij zeker met de juiste kennis en kunde.

Dit heeft betrekking op jouw laatste alinea. Iets in het geheim / forceren / crimineels doen is iets heel anders dan iets dat maatschappelijk geaccepteerd wordt. Als je dit punt begrijpt, dan kan je in ieder geval een beetje begrijpen wat de invalshoek.

svane @DanafromGhana • 1 mei 2020 16:35

Maar het gene wat hier 'maatschappelijk geaccepteerd wordt', is het vrijwillig en anoniem bijhouden of je met een besmet persoon in aanraking geweest bent.

Als ik de analogie doortrek zou 't zoiets zijn:

De inbreker (google/apple) heb je al lang zelf bij je thuis uitgenodigd. Hij heeft al toegang tot je foto's, dagboek, bankrekening, etc. Op een dag vraagt die inbreker jou om een willekeurig getal onder de 10 te kiezen (corona-API). Vervolgens flip je 'm helemaal omdat hij probeert informatie te ontfutselen van je.

Ja, je moet voorzichtig zijn met welke informatie je deelt, maar dit is gewoon een heel raar moment in mijn ogen.

DanafromGhana @svane • 2 mei 2020 00:25

Wat jij een raar moment vindt kan voor de ander nou net de druppel zijn die de emmer doet overlopen. Het groter geheel is hetgeen wat men een andere visie doet vormen. Als je deze invalshoek begrijpt dan kom je een stap dichterbij het snappen van waar OP op doelt.

Flagg @DanafromGhana • 1 mei 2020 23:14

Een slot is niet om criminelen buiten te houden

Locks are there to keep the honest man honest.

Rojod @svane • 3 mei 2020 03:09

Leuk argument, maar tot nu toe was er geen enkel concept in de media die gebruik maakte van die API, maar wilde ze allemaal het wiel opnieuw uitvinden. Dus wat heeft die API er mee te maken?

arbraxas @Rojod • 3 mei 2020 11:11

Dus het framework word gepushed door Google / Apple. Heb je dat alvast binnen of je wilt of niet. Hoeven we alleen nog een keuze te maken voor het grafisch schilletje.

Leuk, die vrijwillige basis.

InsanelyHack @arbraxas • 1 mei 2020 20:16

Doe me is een linkje van die EULA ... in de coronatijd tijd zat.

Verwijderd @svane • 1 mei 2020 15:07

Je naïviteit grenst hier werkelijk aan domheid. Dit is een voorbeeld van hoe de overheid omgaat met de privacy/data van haar burgers. Niet van hoe er "technisch" iets verkeerd bedacht is.

Nog een app die geen persoonlijke gegeven verzameld en dus ook nooit kan leiden tot een datalek:
nieuws: Overheid waarschuwt NL-Alert-app te verwijderen wegens datalek

Een NL-Alert app heeft immers geen persoonlijk identificeerbare data nodig om zijn werk te doen. Op basis van "minst nodige informatie" kan het dus nooit zo zijn dat de NL-Alert app data lekt. Net als de toekomstige Corona app dat ook niet kan. Oh wacht . . .

Serieus, zo'n blind vertrouwen in de overheid terwijl de feiten je telkens om de oren slaan met iets anders is in mijn ogen gewoon eng. Kan er oprecht niets aan doen.

svane @Verwijderd • 1 mei 2020 15:35

Je lijkt m'n punt niet te willen begrijpen. Het klopt dat er genoeg mis gaat met de overheid en IT. Maar m'n punt is dat @arbraxas (en jij) appels met peren vergelijkt. Een app die geen data vergaart (in tegenstelling tot het donorregister, en de NL-Alert app), kan deze ook niet lekken.

De NL-Alert app vraagt om je locatie-gegevens (via een pop-up in je OS). Als je deze (bewust) geeft kan deze inderdaad gelekt worden, geniaal opgemerkt.

De corona app vraagt niet om je locatiegegevens. Je kan geen data lekken die je niet hebt.

Wil je beweren dat de app-maker toegang heeft tot een 0-day lek in OSX/Android waarmee ze zonder toestemming persoonlijke data kunnen vergaren?

Dit heeft niets met vertrouwen in de overheid te maken, maar met simpel nadenken.

Ik kan ook beweren dat Corona veroorzaakt wordt door Chemtrails van overheidsvliegtuigen. Iedereen die mijn theorie niet blindelings gelooft kan ik dan tegen zeggen: "Serieus, zo'n blind vertrouwen in de overheid terwijl de feiten je telkens om de oren slaan met iets anders is in mijn ogen gewoon eng. Kan er oprecht niets aan doen."

Verwijderd @svane • 1 mei 2020 15:57

Jij weet blijkbaar al precies hoe de Corona app in elkaar steekt en waar deze te downloaden is. Top.

Zou je dan:
1. De naam van de app willen noemen en de download locatie.
2: Willen vertellen op welke manier er gegevens uitgewisseld en/of opgeslagen worden zodat ik weet of ik in de buurt van iemand met Covid-19 ben geweest zonder dat hier sprake is van een tot persoon herleidbare gegevens voor mij of de beheerder van de app/database?

Zullen we even uitgaan van het feit dat locatie gegevens (gekoppeld of niet) per definitie NIET anoniem kunnen zijn? Uit locatiegegevens zonder verdere koppeling kun je op basis van maar een klein aantal meetpunten al een persoon achterhalen.

Volgens mij is het redelijk simpel: een Corona app die zonder persoonsgegevens werkt kan niet. Je kunt het zoveel mogelijk afschermen, obfusceren, whatever maar op enig moment moet je een link kunnen leggen tussen gegevens. Hoe sneller de overheid dat in ieder geval toegeeft hoe transparanter ze zijn.

svane @Verwijderd • 1 mei 2020 16:18

Alsof je echt je best doet om mij verkeerd te begrijpen. Waar heb ik gezegd dat de app al klaar is? Waar heb ik gezegd dat ik weet waar deze te downloaden is? Waarom heb je 't over locatiegegevens? De corona-app gaat geen locatiegegevens verzamelen.

1. de app is nog niet klaar, maar er zitten wel eisen aan vast, waaronder de eis dat de app geen locatiegegevens mag verwerken
2. Hier is een korte uitleg van Google/Apple zelf

Dat jij geen manier kan bedenken om zo'n app te bouwen zonder persoonsgegevens te verwerken betekent niet dat 't niet mogelijk is

kimborntobewild @svane • 3 mei 2020 17:43

Hier is een korte uitleg van Google/Apple zelf

Google en Apple vallen onder de patriot act: alles wat zij verzamelen, moet beschikbaar zijn voor de opsporingsdiensten in de USA.

Will only be used for contact tracing by public health authorities for COVID-19
pandemic management

Als er in die PDF nou iets zou staan over dat de patriot act hier niet van toepassing zou zijn... maar dat staat er niet in.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 06:30]

svane @kimborntobewild • 4 mei 2020 12:10

Google/Apple vallen inderdaad onder de patriot act.

Wat mij betreft zijn er dan grofweg 2 opties:

1. Google/Apple liegt, en de API verzamelt wel locatiedata en persoonsgegevens. Dit konden ze echter ook al voordat de API bestond, aangezien je OS toegang heeft tot: GPS data, je microfoon(s), je camera('s), je wachtwoorden, foto's, documenten. Deze kunnen ze doorsturen naar de VS. Deze nieuwe API heeft hier geen invloed op.
2. Google/Apple spreken de waarheid, en deze API verzamelt geen locatiegegevens en geen persoonlijke data. Als ze deze data niet verzamelen, kunnen ze deze ook niet doorsturen; De API heeft geen invloed op je privacy.

Ik zie echt niet in welke situatie de nieuwe API mogelijk invloed zou kunnen hebben op je privacy.

arbraxas @svane • 3 mei 2020 11:26

Vrij simpel, uiteindelijk gaat het om waarschuwen van een persoon over een mogelijk risico. Dat betekent dat al die random bluetooth codes opgeslagen moeten worden, met een manier om dat te herleiden naar een telefoon. En daarmee dus direct naar een persoon.

Ga mij maar eens vertellen hoe je dit type van software wil gaan ontwikkelen zonder dit soort gegevens? Want dat botst met de primaire functie van de app.

Dus nee, GPS is niet nodig daarvoor. Maar het RIVM, wil natuurlijk ook verspreidingsdata gebaseerd op geografische data. Dus ook dat gaat gelogged worden.

nandervv @svane • 3 mei 2020 08:30

Voor finegrained bluetooth control heb je op android gewoon locatierechten nodig.... Dus dan kan je gewoon de exacte locatie van iemand opvragen.

sympa @Verwijderd • 1 mei 2020 15:30

Bij NL-Alert was het niet de overheid die lekte, maar een library. En die lekte niet naar de overheid.
En die kwijtgeraakte schijven uit de kluis? Ik denk dat die bij het gemiddelde bedrijf 'onder het tapijt' zouden zijn geveegd. "Tjeetje, ze zijn weg. Uhmmm AVG... wat nu?" - En dan "Hey Jansen, we hadden die schijven laten vernietigen toch, ga je je dat alsjeblieft herinneren..."

Verwijderd @sympa • 1 mei 2020 15:39

Bij NL-Alert was het niet de overheid die lekte, maar een library. En die lekte niet naar de overheid.
En die kwijtgeraakte schijven uit de kluis? Ik denk dat die bij het gemiddelde bedrijf 'onder het tapijt' zouden zijn geveegd. "Tjeetje, ze zijn weg. Uhmmm AVG... wat nu?" - En dan "Hey Jansen, we hadden die schijven laten vernietigen toch, ga je je dat alsjeblieft herinneren..."

Wow, wat een hoop onzin in zo'n klein stukje tekst.

NL-Alert is een applicatie die is uitgegeven door de Rijksoverheid. Zij zijn verantwoordelijk voor:
1: De zorg dat de applicatie niet meer gegevens verzameld dan strikt noodzakelijk voor de werking. FAIL
2: De zorg dat de data die de applicatie verzameld veilig wordt verwerkt. FAIL

Dat de overheid een library gebruikt die zo lek is als een mandje doet niet terzake. Dat de gegevens niet náár de overheid zijn gelekt maar naar andere data hoarders maakt het alleen maar kwalijker.

En als je illegale praktijken er bij haalt om de totale onkunde en wat mij betreft nu ook zeer grove nalatigeid bij de overheid goed te praten dan is er toch echt iets mis met je morele kompas hoor. Ja heer agent, ik heb drie keer geschoten. Maar die andere jonge had wel vijf keer geschoten en was er ook nog een keer overheen gereden, ik zie het probleem niet.

Serieus

tellavist @arbraxas • 1 mei 2020 13:51

vergeet je handtekening niet.

R4gnax

Datalek
Privacy

@tellavist • 2 mei 2020 12:04

vergeet je handtekening niet.

Dat is wellicht nog wel het meest gevaarlijke. Icm NAW gegevens kun je met een goed vervalste handtekening aardig wat schade aangericht krijgen.

BSN is in principe alleen voor overheidsdiensten, maar NAW + handtekening kan ook voor veel digitale aanvragen en contracten op andere vlakken misbruikt worden.

[Reactie gewijzigd door R4gnax op 25 juli 2024 06:30]

ArmEagle

@arbraxas • 1 mei 2020 14:01

Dit gaat door de grote hoeveelheid lekken dezelfde kant op als hoe het eerst ging bij #gasbevingsschade in Noord Nederland; "Dat komt niet door ons, maar door die ander".

Edit: Daarbij doel ik op het claimen van schade bij misbruik van gelekte gegevens.

[Reactie gewijzigd door ArmEagle op 25 juli 2024 06:30]

Verwijderd @arbraxas • 1 mei 2020 15:02

En ook gewoon niet juist natuurlijk!

Als je als bedrijf naam, adres, woonplaats, geboortedatum niet meer hoeft te behandelen als persoonsgegevens dan zijn we denk ik snel klaar met die hele AVG. En dan over het BSN nummer nog zeggen dat die alleen voor door de overheid en de zorgverzekeraars gebruikt wordt en er dus weinig kans is op misbruik.

Werkelijk SCHANDALIG dat dit in een reactie op kamervragen gezegd mag worden en dat het nog wordt geslikt ook. Met deze gegevens kun je gewoon zonder enig probleem volledige identiteitsdiefstal plegen!

kolonel klapzak @Verwijderd • 1 mei 2020 16:58

Het maakt in elk geval op ondubbelzinnige wijze duidelijk hoe er door deze minister en zijn ministerie over privacy gedacht wordt, en wat we dus kunnen verwachten van applicaties en systemen waar dit ministerie bij betrokken is.

comecme @Verwijderd • 2 mei 2020 13:59

Vior identiteitsdiefstal hoop ik toch dat je ook een kopie van een legitimatiebewijs nodig hebt.

nandervv @comecme • 3 mei 2020 08:33

Bel je provider eens op, met een ander nummer, en probeer je adres te wijzigen tijdens het sturen van een nieuwe sim..

Noresponse @arbraxas • 1 mei 2020 15:19

Ik ben benieuwd wel gegevens er waren per donor. We praten over 6 miljoen mensen. Dit moet zoiezo al zijn met naam, geboortedatum en plaat en adres en wellicht e-mail adres etc. Ze doen er heel luchtig over maar als 6 miljoen e-mails elke dag een bericht krijgen dan zijn die e-mails weel heel persoonlijk met de juiste gegevens zoals naam etc.

arbraxas @Noresponse • 1 mei 2020 16:50

voor- en achternaam, geslacht, geboortedatum, adresgegevens, donorkeuze,
handtekening en burgerservicenummers"

Spam is wel de minste van de problemen.

Hemingr @arbraxas • 1 mei 2020 18:14

Het is enkel nog even wachten op een advertorial op tweakerts dat het wel snor zit met de privacy van de coronaapp.

R4gnax

Datalek
Privacy

@Hemingr • 2 mei 2020 12:14

Het is enkel nog even wachten op een advertorial op tweakerts dat het wel snor zit met de privacy van de coronaapp.

Er is al met groot geschut een media campagne ingezet op TV. Reclame om je mening mee te laten nemen in peilingen; maar heel geniepig komt er in die reclame een voorselectie van eigenlijk enkel positieve meningen voorbij waar deelnemers steevast zeggen dat ze de corona app gaan installeren; de overheid vertrouwen; dat privacy inleveren om gezondheidsrisico's te minderen acceptabel is; etc.

Vieze vuile sociale manipulatie om alle neuzen van de bevoking de "juiste" kant op te krijgen.

[Reactie gewijzigd door R4gnax op 25 juli 2024 06:30]

kimborntobewild @arbraxas • 3 mei 2020 17:17

Gelukkig hebben we nu de ene na de andere privacy blunder

Dat is al decennia lang zo.

Kapotlood 1 mei 2020 13:50

Daarom vertrouw ik de overheid ook niet met die Corona-app. Ik kan me geen enkel project herinneren waarbij de overheid wél zaken goed geregeld en beveiligd had m.b.t. de persoonlijke gegevens van mensen. En dat is nog buiten alle vragen die sowieso nog onbeantwoord zijn rondom de Corona-app:
- wie kan wanneer en onder welke voorwaarde bij die gegevens?
- wat wordt er naderhand met de gegevens gedaan, en wie houdt daar toezicht op?
- hoeveel nut heeft de app als mensen de telefoon niet meenemen?
- worden deze gegevens ook misbruikt gebruikt voor andere doeleinden?

Ergens is het ook wel erg toevallig dat juist in deze maand het nieuws rondom de NL--Alart app en de HD's over 't donorregister naar buiten komt, maar het spreekt boekdelen over hoe slecht men hier allemaal mee om gaat. Volslagen weggegooid geld in mijn ogen, en maar rondom de hete brei dansen dat er misschien bezuinigingen nodig zijn.

kimborntobewild @Kapotlood • 3 mei 2020 17:57

...maar het spreekt boekdelen over hoe slecht men hier allemaal mee om gaat.

Wat vooral boekdelen spreekt, is hoe de minister het baggetaliseert. In vind dat gedrag zelfs reden voor ontslag, want daarmee werkt hij de lakoniekheid bij zijn werknemers enorm in de hand.

Kapotlood @kimborntobewild • 3 mei 2020 19:59

Persoonlijk heb ik me de afgelopen jaren wel vaker verbaasd over hoe vaak een kabinet blijft zitten terwijl er toch redelijk wat zaken flink zijn mis gegaan (Teevendeal, Bonnetjesaffaire, diverse andere problemen). Het lijkt wel alsof men het baggetaliseren tot kunst verheven heeft. Maar goed, wellicht een persoonlijke mening,

Eonfge @Kapotlood • 1 mei 2020 13:59

Dit was al een begin maart hoor:
Datalek donorregister: harde schijven met 6,9 miljoen ingevulde donorformulieren foetsie

Bas_f @Kapotlood • 1 mei 2020 14:17

Nou inderdaad. En zo kun je nog veel verder gaan:
Worden er backups gemaakt?
Zijn deze beveiligd? En zo ja, hoe?
Wie kan op afstand bij de backups? En waarom?
Kan iemand fysiek bij de backups?
(Hoe) is de locatie fysiek beveiligd?

Maar gezien de aard van het artikel is dat allemaal niet belangrijk.

svane @Kapotlood • 1 mei 2020 14:29

Mee eens dat er genoeg mis gaat bij de overheid, maar dit kan je totaal niet vergelijken met de corona-app. Daar is:
- De api gemaakt door Google/Apple (waar je waarschijnlijk al software van op je telefoon hebt)
- De app zelf open-source
- Alle data die centraal opgeslagen wordt, publiekelijk

Er valt daar niks uit te lekken

Rojod @svane • 3 mei 2020 03:14

de API gemaakt door Google/Apple?
Ehm, nee. Die maken er eentje, maar zover bekend gaat NL die niet gebruiken.

Alle data die centraal opgeslagen word, publiekelijk? Komt mooi uit, scheelt weer een lek als dit.

_Dune_ Moderator OeB

@Kapotlood • 1 mei 2020 14:12

Opzich is er genoeg kennis en kunde binnen de overheid, helaas worden zij veelal lam geslagen als de politiek zich er weer mee gaat bemoeien. Politiek zou alleen een opdracht kunnen geven eventueel kunnen controleren, maar zich verder niet bemoeien met de verdere invulling van een dergelijk project, aangezien de politiek veelal niet weet waar zij over spreekt, maar dit toch doet en weer een ICT project die de afgrond in gaat.

Ivolve

@Kapotlood • 1 mei 2020 14:16

Ik kan me geen enkel project herinneren waarbij de overheid wél zaken goed geregeld en beveiligd had m.b.t. de persoonlijke gegevens van mensen.

Dat komt omdat die gevallen waar het wel geod gaat ook niet in het nieuws komen

Ergens is het ook wel erg toevallig dat juist in deze maand het nieuws rondom de NL--Alart app en de HD's over 't donorregister naar buiten komt

Als je denkt dat dat toevallig is dan ben je wel erg naief... Ik denk dat juist nu iemand er (al dan niet politiek) baat bij heeft gehad om dit nieuws naar buiten te brengen. Daarnaast schenken de media er nu ook juist extra aandacht aan omdat dit momenteel leeft in de samenleving. Dit bericht zou dus een stuk minder kliks krijgen of misschien helemaal niet geplaatst zijn als er geen discussie was over corona apps.

Kapotlood @Ivolve • 1 mei 2020 18:11

Heeft niets met naïviteit te maken hoor, ik ben het helemaal met je eens dat iemand ergens hier baat bij heeft gehad. Uiteindelijk denk ik dat de burger er in dit geval ook baat bij heeft, want het is belangrijk je bewust te zijn van het (vele) falen van dit soort overheidsprojecten vind ik.

Ivolve

@Kapotlood • 1 mei 2020 18:22

Helemaal mee eens. Helaas gaat het inderdaad vaak mis met overheids projecten. Projecten zijn vaak te groot een complex (gemaakt) en daarom gaat het mis.

Daarnaast is bij de overheid ook alleen perfect goed genoeg. Als een bedrijf software implementeert waarmee 99% van de gevallen goed gaan dan resulteert dat misschien in een paar gemiste orders. Als de overheid 99% software heeft dan wordt die ene procent uitgebreid in de media belicht en wordt er schande van gesproken. Het is dus ook een deel perceptie.

Ditzelfde zie je ook gebeuren in de privacy discussie. Alles van de overheid wordt onder een vergrootglas gelegd en van alle kanten besproken maar tegelijkertijd weet Google zo ongeveer van iedere Nederlander welke kleur onderbroek ze aan hebben...

Kapotlood @Ivolve • 1 mei 2020 19:08

Ik heb vroeger wel eens met/voor bedrijven gewerkt die veel voor gemeenten en overheden doen. Daar kreeg ik altijd steevast 2 opmerkingen over: je kunt rekenen wat je wilt, want ze betalen altijd te laat en kijken niet naar geld. En de bureaucratie is daar zo absurd ingewikkeld dat een simpel ontwerpproject bijna altijd uitmond in een prestige project van een-of-andere pipo.

Ben helaas nog niets tegengekomen wat het tegendeel beweert

Ivolve

@Kapotlood • 1 mei 2020 19:51

Haha ja geloof dit zomaar. Ik heb vroeger ook wel eens dingen voor de overheid gedaan dus herken het.

Flagg @Ivolve • 1 mei 2020 23:27

Ik zou het maar niet zomaar geloven.

Zoals alle verhalen die beginnen met: "de broer van mijn buurman..." of "ik ken mensen die wel eens gehoord hebben dat..".

Of zoals zijn post begint.

wifikabelhuren @Kapotlood • 1 mei 2020 14:34

Het doel was een opensource app! Dat houd in dat je inzicht krijgt wat het doet.

Tha_Butcha @wifikabelhuren • 1 mei 2020 14:40

Alleen 99.99% download hem gewoon uit de play store. Dus weet je niet of die de code die openbaar is gemaakt hetzelfde is als de binary die jij installeert.

En dan beginnen we maar niet over de 85% die niet kan coden of code kan lezen.

wifikabelhuren @Tha_Butcha • 1 mei 2020 14:55

Maar om heel eerlijk te zijn weet je ook niet wat de belasting met je gegevens doet, of je bank, vriendin of familie.

DerManiak

1 mei 2020 13:49

Met gegevens zoals "voor- en achternaam, geslacht, geboortedatum, adresgegevens, donorkeuze,
handtekening en burgerservicenummers" kun je volgens mij een heel eind komen qua identiteitsfraude, dus om dit nu proberen onder het tapijt te schuiven onder het mom van "het zijn openbare gegevens of wordt enkel gebruikt door de overheid" vind ik erg kwalijk

tellavist @DerManiak • 1 mei 2020 13:55

een heel eind? hiermee heb je voldoende om een DigiD aan te vragen of een ID kaart juist te photoshoppen en dus een bankrekening te openen, creditcard aan te vragen etc.

Standeman @tellavist • 1 mei 2020 14:20

Uhmm, nee. Dat is zeker niet voldoende. Voor DigiD moet je je zelf legitimeren bij een medewerker van het IDKP die naar het adres rijd dat geregistreerd is in het GBA.
Verder heeft een ID kaart een nummer dat wordt gecontroleerd bij het openen van een bankrekening of het aangaan van een lening. Je kan er niet eens een auto mee huren. Daar hebben we gelukkig het Verificatie Register van het RiVG voor.

[Reactie gewijzigd door Standeman op 25 juli 2024 06:30]

provista30 @Standeman • 1 mei 2020 14:41

Dat is zeker niet waar. Wij hebben via internet een digid aangevraagd en kregen netjes een activering envelop thuis. Dus niets legitimeren bij een loket.

Standeman @provista30 • 1 mei 2020 14:50

Dat klinkt als een paar jaar geleden toen 2FA nog niet verplicht was. Inmiddels werkt het niet zo meer. Ik heb onlangs een nieuw telefoonnummer (wamt 2FA) in gebruik genomen en daarvoor moest ik toch echt mijn ID laten zien aan de IDKP-man die de code kwam brengen om mijn nieuwe nummer te activeren.

Mijn punt is, dat je met deze gelekte informatie echt niet zomaar Digi-ID kan aanvragen of kan resetten.

metalmania_666

@Standeman • 1 mei 2020 16:50

Je bewering klopt niet.
Voor een kennis van mij pas geleden nog gedaan.
Geen controle, gewoon een brief in de brievenbus

speuler @Standeman • 1 mei 2020 15:06

Heb 2 weken geleden nog voor mijn vader aangevraagd, hoefde niets te laten zien. Geen 2FA dat ik heb gezien.

provista30 @Standeman • 2 mei 2020 04:16

Letterlijk 1 maand geleden

Sograd @Standeman • 1 mei 2020 14:43

Voor DigiD moet je je zelf legitimeren bij een medewerker van het IDKP

Ik heb mij nooit bij een medewerker gelegimiteerd voor een digid. Gewoon online aangevraagd en een paar dagen later een brief in de brievenbus.

tellavist @Standeman • 1 mei 2020 14:51

Wat een onzin.
Je kan gewoon online je DigiD aanvragen met BSN, geboortedatum, adres.

Daarnaast checken lang niet alle banken de geldigheid van je ID direct. (laat staan crypto brokers waar je ook uiteindelijk fiat op kan hebben staan)
Dit gebeurt uiteindelijk wel, maar wordt vaak handmatig gedaan door een medewerker.

In de tussentijd kan ik al lang geld via deze rekening doorgesluisd hebben, een automatische incasso hebben lopen, betaalverzoeken hebben verstuurd, drugs hebben gekocht etc.

Wel balen als ineens de politie op je stoep staat omdat jouw gegevens gebruikt zijn bij het bestellen van 100 gram coke... Bewijs maar eens dat je het niet gedaan hebt.

Verdiep jezelf eens goed wat je allemaal met gegevens kan bereiken.

[Reactie gewijzigd door tellavist op 25 juli 2024 06:30]

triflip @Standeman • 1 mei 2020 14:51

DigiD gaat gewoon online hoor en de enige combinatie waar google de term idkp en digid weet te matchen is jouw comment.

Je krijgt gewoon per post een activatiecode, er is niemand van een niet bestaand idkp dat ter plekke iets komt controleren.

Standeman @triflip • 1 mei 2020 14:53

Alsjeblieft, de niet bestaande https://www.ubrijk.nl/service/ipkd

triflip @Standeman • 1 mei 2020 15:04

aah de postbodes van de overheid, die gaan echter geen ID-check bij jou aan huis doen voor een DigiD aanvraag.

en IPKD =/= IDKP

Standeman @triflip • 1 mei 2020 15:17

Oeps, foutje wat betreft de afkorting.

En ik heb ze daadwerkelijk aan de deur gehad. Stond e zelf ook van te kijken.

Flagg @Standeman • 1 mei 2020 23:23

Oh oh staat er ook een geblindeerd busje aan de overkant?

Waar heb jij deze "special behandeling" aan verdiend? Probeerde de man binnen te kijken toevallig? Of stelde hij vreemde vragen?

Ik zeg alles waar je niet zonder kan in 1 tas en vertel niemand waar je naartoe gaat.

Ook mij niet!!!!! Het ga je goed.

icecreamfarmer @DerManiak • 1 mei 2020 13:56

Mooiste vind ik nogwel dat hij zegt dat je met BSN niets kan. Jarenlange campagnes van de overheid dat je dat moet afschermen maar nu maakt het niet uit om aan jan en alleman te geven.

Waarom niet gewoon de bag openbaar maken als het toch niets uitmaakt.

Sograd @icecreamfarmer • 1 mei 2020 14:45

Waarom niet gewoon de bag openbaar maken als het toch niets uitmaakt.

Bag is vanaf het begin af aan openbaar (google op bagviewer). Maar mij ontgaat de relatie tussen bag en bsn. De bag bevat geen bsn's

[Reactie gewijzigd door Sograd op 25 juli 2024 06:30]

bvdbos @Sograd • 2 mei 2020 08:56

Ik neem aan dat @icecreamfarmer de BRP bedoeld...

Standeman @icecreamfarmer • 1 mei 2020 14:23

Aan de andere kant heb ik nog nooit een scenario gelezen waarbij het BSN daadwerkelijk een factor is bij het plegen van identiteitsfraude. Veelal zijn het juist de processen en beveiliging van dienstverleners die niet op orde zijn en draagt het BSN er bijzonder weinig aan toe.

Zynth @Standeman • 1 mei 2020 18:08

De gelekte gegevens zijn voldoende om een telefoonabonnement af te sluiten, en voldoende om een zorgverzekering te bellen en informatie uit te vragen over die persoon.

Diederik99 @Zynth • 1 mei 2020 19:24

Denk het niet, toen ik een telefoonabbo afsloot laatst moest ik een Ideal betaling doen van 1 cent.
En in een telefoonwinkel vragen ze je om je ID.

ta_chi79 @icecreamfarmer • 1 mei 2020 14:40

De BAG is al openbaar hoor

icecreamfarmer @ta_chi79 • 1 mei 2020 14:42

Maar niet gekoppeld aan de persoonsgegevens.

Hier vind je alleen adressen.

Sograd @icecreamfarmer • 1 mei 2020 16:36

Adressen en verblijfsobjecten. Niemand heeft aangegeven det er persoonsgegevens in staan.

Wij reageren op jouw punt:

Waarom niet gewoon de bag openbaar maken als het toch niets uitmaakt.

icecreamfarmer @Sograd • 1 mei 2020 17:19

Gba dan.

Houthacker @DerManiak • 1 mei 2020 14:00

Precies. Dat zegt de Autoriteit Persoonsgegevens ook.

Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en *identiteitsfraude*.
Bron: Autoriteit Persoonsgegevens / https://autoriteitpersoon...e/burgerservicenummer-bsn

hubertgruber 1 mei 2020 13:45

NAW-gegevens worden nu als openbare gegevens beschouwd? En bekendheid van BSN wordt thans ook gezien als weinig risicovol? Typerend voor de overheid dat zo'n glijdende schaal wordt gebruikt...

batjes @hubertgruber • 1 mei 2020 14:08

Verbazingwekkend.

Ik mag er dus vanuit gaan dat van deze Hugo al deze gegevens op Facebook staan? Zo niet, bij deze het verzoek om deze gegevens op Facebook, Twitter, nu.nl en dergelijke achter te laten.

Dit soort bekrompenheid los je alleen op door ze er zelf over heen te laten struikelen.

SuperDre @hubertgruber • 1 mei 2020 16:28

tja, ben zelf er voor dat BSN gewoon gedeeld moet kunnen worden tussen organisaties en fondsen, want waarom zelf weer een uniek nummer bedenken om diezelfde persoon aan te duiden terwijl er al een duidelijk uniek nummer is, is eigenlijk gewoon van den zotte..

Alex3 @SuperDre • 1 mei 2020 19:58

Het is niet de bedoeling dat niet-overheidsorganisaties allerlei bestanden gaan koppelen, daarom mogen zij het BSN niet gebruiken.

SuperDre @Alex3 • 1 mei 2020 23:36

Tja, en daarbij zeg ik dus dat het grote onzin is. Waarom zou bv een scholingsfonds waar het om een specifieke werknemer gaat niet ook gebruik mogen maken om deze werknemer te identificeren, zeker als iemand bij 2 bedrijven werkt die allebei met een apart verloningspakket werken die dus allebeid dan weer een uniek nummer moeten bedenken voor diezelfde werknemer (wat ook weer een hoop problemen met zich mee kan brengen), terwijl er al een uniek nummer is, het BSN.. Op dat gebeid vind ik dat men echt doorgeslagen is.

Alex3 @SuperDre • 1 mei 2020 23:40

Werkgevers mogen het wel gebruiken, zij houden immers loonbelasting etc. in.

SuperDre @Alex3 • 2 mei 2020 23:16

Zucht, maar die mogen het dus niet gebruiken richting fondsen etc. waardoor dus sowieso naast BSN nog een extra uniek nummer bedacht moet worden, maar die is dus dan vaak pakketgebonden of je moet dus zelf weer bijhouden in een eigen lijst. Trust me, I know, salarisapplicaties is wat ik maak en dus de daarbij komende nadelen van zaken als BSN niet normaal mogen gebruiken.

[Reactie gewijzigd door SuperDre op 25 juli 2024 06:30]

Lorelei_7 @hubertgruber • 8 mei 2020 13:57

Dat ik die gegevens nooit op facebook heb gezet, maakt nu dus ook niet meer uit.

computerjunky 1 mei 2020 13:50

Te veel data op 1 schijf dus. Als je gewoon ieder persoon een nummer gegeven had en dat nummer apart met de donor keuze op een andere schijf had gezet en apart had gehouden hadden ze niet alle informatie.

Zo veel manieren om data minder nuttig te maken als het uit lekt...

jongetje

@computerjunky • 1 mei 2020 13:55

Het was volgens mij data die op een hardeschijf was gezet voor een nieuwe import. Alleen zitten er vervolgens mensen te slapen en wissen die schijven niet nadat de import succesvol is.

Maar ach, de kvk mag niet het burgerservicenummer gebruiken, de overheid heeft een app speciaal voor kopieen van een ID kaart, rijbewijs en paspoort gemaakt zodat je je BSN kunt uitgrijzen. Nu zegt de minister dat het niet zo erg is want wordt toch alleen bij de overheid en zorginstanties gebruikt. Zolang een ander het doet is de wereld te klein, doet de overheid het zelf dan is het blijkbaar niet zo erg.

_Dune_ Moderator OeB

@jongetje • 1 mei 2020 14:14

Wederom het bewijs dat de politiek (in dit geval betreffende minister) gewoon niet weet waar zij over spreken. Zie mijn eerdere reactie _Dune_ in 'nieuws: Minister acht kans op terugvinden kwijtgeraakte hdd's Dono...

Bensimpel 1 mei 2020 13:49

De minister acht de kans op misbruik klein omdat het geen hack betreft en er geen aanwijzingen voor diefstal zijn. Ook verwijst De Jonge naar het standpunt van het Centraal meldpunt Identiteitsfraude en -fouten. Dat stelt dat naw-gegevens en geboortedatums 'openbare gegevens' zijn die ook via sociale media of zoekmachines te vinden zijn. De kans op misbruik met het burgerservicenummer is volgens hem klein, 'omdat dit nummer enkel wordt gebruikt bij onder andere de overheid en in de zorgsector'.

Uhm nee, de kans moet je aannemelijk achten omdat je niet weet wie/waar deze schrijven hebben/zijn.
Tweede punt slaat natuurlijk nergens op, dit is een extra ingang dat misbruik mogelijk maakt, dit wil je gewoon niet.

Met alle gegevens die op die schrijf stonden is het namaken van een paspoort juist erg makkelijk, ik hoop dat de overheid dan ook mensen gaan compenseren die hierdoor de dupe worden. Ik vind het anders wel erg makkelijk afschuiven..

loki504 @Bensimpel • 1 mei 2020 14:10

Zover ik weet zijn ze mogelijk al een tijdje foetsie. En heeft nog niemand gemeld met problemen door dit lek.

Ik als je schade door ondervind zie ik geen reden om niet niet vergoed te krijgen via een rechter. Maar als je verwacht dat iedereen die daar in stond alvast uit voorzorg 1m euro zal ik ke toch uit die droom moeten halen.

dezejongeman 1 mei 2020 13:58

dit is precies de reden waarom ik zo weinig mogelijk gegevens invul bij overheids instanties. ze hebben zoveel van je, dat als data als dit kwijt is dat je in 1 keer met je hele identiteit op straat ligt. ik heb daarom ook een enorme hekel aan opt-out waar het dan ook maar voor is. Een foutje zit in een klein hoekje snel gemaakt en gebeurt ook daar. Hier is het echter weer zo'n onderdeel wat uitbesteed is aan partij x die namens de overheid dit soort dingen mogen doen. nu maar hopen dat de gegevens goed ge-hashed zijn op die schijven want disk-encryptie is niet gebruikt.

De minister legt overigens wel haarfijn uit dat diefstal van een schijf de perfecte hack is, door het geen hack te noemen.

Frogmen

@dezejongeman • 1 mei 2020 14:10

Misschien moet misbruik van privacy gegevens en identiteitsfraude gewoon wel veel zwaarder gestraft worden gelijk aan moord bijvoorbeeld de impact kan soms voor het slachtoffer nog groter zijn tenslotte.

wica 1 mei 2020 14:13

Ook verwijst De Jonge naar het standpunt van het Centraal meldpunt Identiteitsfraude en -fouten. Dat stelt dat naw-gegevens en geboortedatums 'openbare gegevens' zijn die ook via sociale media of zoekmachines te vinden zijn.

Sorry, mijn exacte adres is niet te vinden op Internet.

Maar wie helpt mij aan met adres van Minister de Jong? Wil hem graag een bedankt bloemetje sturen.

keigezellig123 1 mei 2020 14:14

De grootste facepalm had ik bij dat het 'toch niet zo erg is dat BSN nummers uitgelekt zijn'

Joppiez 1 mei 2020 14:18

Ik vind het ergens wel ironisch dat als je kijkt naar hoe een te verwachte Corona app onder de loep wordt genomen kwa privacy en veiligheid, en we dezelfde normen gaan hanteren bij de overheid voor haar overige programmatuur/dienstverlening/noem maar op, er waarschijnlijk niks van overblijft.

Beetje offtopic maar ik verbaas me nergens meer over.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (209)

Sorteer op:

Weergave: