Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum

Persoonlijke gegevens van mogelijk miljoenen Nederlandse autobezitters zijn gestolen. Dat schrijft de NOS nadat het een database online vond met daarin naw-gegevens, e-mailadressen, telefoonnummers en kentekens. De data is afkomstig van een ict-leverancier voor autogarages.

De gegevens komen van softwareleverancier RDC. Dat maakt programma's voor autogarages om bijvoorbeeld klantgegevens bij te houden, proefritten te registreren of auto's in het Bovag-register te zetten. De NOS ontdekte op een forum een dataset waarin gegevens staan die van dat bedrijf afkomstig zijn. RDC bevestigt dat. Het bedrijf zegt niet te weten hoe de gegevens zijn gestolen. Volgens RDC is er geen sprake van een hack, maar er wordt nog onderzoek gedaan naar de afkomst. De dataset zou te koop zijn voor 35.000 dollar.

Volgens de NOS gaat het om de gegevens van mogelijk 7,3 miljoen Nederlanders. De exacte omvang is niet duidelijk omdat veel gegevens dubbel in de dataset staan. Er zouden 2,5 miljoen e-mailadressen in het bestand staan. RDC zegt dat het om gegevens gaat van tussen september 2018 en eind januari 2019, maar de NOS zag ook gegevens in de database die tot wel tien jaar teruggingen.

RDC heeft melding gemaakt bij de Autoriteit Persoonsgegevens en verwijst naar een telefoonnummer van de servicedesk voor als slachtoffers vragen hebben.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

25-03-2021 • 07:25

294 Linkedin

Reacties (294)

-12940294+1130+229+30Ongemodereerd118
Wijzig sortering
Wat niet in het artikel staat is dat het de tool ‘MijnKlantensite.nl’ van RDC betreft.
Dat verklaart wat dat ik sinds een aantal maanden Bunq Knab + ICS phising emails krijg op mijn eigen domen met een email adres wat ik uitsluitend gebruikt heb voor mijn garage (garagenaam@domein.nl). Ik vond dit al erg bijzonder maar de garage contacten schoot er telkens bij in.

Ondertussen even naar MijnKlantensite gezocht en de garage heeft me daar inderdaad in 2017 voor het eerst mee gemaild. Het cirkeltje is rond, tegelijk kom ik dus never meer af van die phising spam denk ik.

[Reactie gewijzigd door Pixelmagic op 25 maart 2021 08:23]

.. een email adres wat ik uitsluitend gebruikt heb voor mijn garage (garagenaam@domein.nl).
Heel slim! Zo kan je goed zien wie je klantgegevens heeft verkocht, of tegenwoordig dus gelekt.

Ik doe om die reden altijd naam+label@gmail.com in de hoop dat de verkopende partij of criminele datahandelaars het er niet afstrippen, maar niet alle websites accepteren het (legale) +-teken; wat jij doet is feilloos. Het is alleen wel even wat meer moeite, en niet iedereen heeft die skills.

Misschien is een service als e4ward een goed alternatief.

[Reactie gewijzigd door Redsandro op 25 maart 2021 08:35]

Een alternatief is misschien het gebruik van punten bij een Gmail adres. Zo komen red.sandro als redsandro als r.e.d.sandro in dezelfde Gmail box terecht. Maar je kunt dan wel zien wat degene als emailadres heeft gebruikt.
Opzich interessant dat dat werkt, maar als je stelselmatig een uniek e-mail adres voor elke site wilt gebruiken om te tracken wie je data verkoopt, dan moet je wel hele series morse-code gaan bijhouden. :P
Je zou het natuurlijk met een catch all kunnen oplossen. Je ziet perfect naar wie het gestuurd is (welk uniek adres) maar hoeft niet elk mailadres aan te maken en in te stellen / op te halen.
Catch-all kan, maar heeft dan weer andere nadelen - ik heb dat op mijn domein oorspronkelijk aan gehad, maar gauw weer verwijderd omdat ik daardoor nog meer spam binnenkreeg. Verbazingwekkend hoeveel spam gewoon naar WILLEKEURIGIETS@domain gestuurd wordt...
Ik heb ook een catch-all ingesteld staan (en gebruik ook voor iedere website een ander email adres) maar krijg eigenlijk totaal geen spam binnen op willekeuige adressen. Komt wellicht omdat ik ook gray-listing aan heb staan (het eerste email van een onbekend adres faalt, en pas als de server het opnieuw probeert lukt het. Normale email servers proberen het automatisch opnieuw, de mail komt dus alleen iets later aan, maar spammers proberen het normaal gesproken maar 1 keer).
maar spammers proberen het normaal gesproken maar 1 keer
Dat is al een beetje achterhaald. Ik zie op mijn mailserver dat spammers het automatisch opnieuw proberen. Dat is ook niet vreemd want ze gebruiken vaak dezelfde mta's die iedereen gebruikt.

De gedachte bij greylisting was altijd dat spammers niet de resources hebben om vertraging op te lopen, maar sinds de enorme botnets en hoge verdiensten boeit het ze niets meer. Ik gebruik greylisting om een inbound mta de kans te geven om een mail weer in te trekken als de afzender ondertussen bij hen is geblokkeerd. En dat gebeurt ook wel eens.
Nein, greylisting is niet bedoeld om vertraging te veroorzaken bij de spammers. Het idee is dat een gespoofde mail tegengehouden wordt: de initiële mail wordt met een temporary error geweigerd, de spoofer gaat verder met het volgende adres. De legitieme mailserver kent het gespoofde mailtje niet dus die gaat de spammer niet helpen met de retry.

Als ik een random Gmail-accountje maak om mee te gaan spammen, gaat greylisting echt niks helpen met mijn viagrareclames.
Idd een catch-all op je eigen domein naar een mailbox bij je e-mail provider. Daarmee kan je je aanmelden op een website/shop met <webshopnaam>@mijndomein.nl of bij een mailinglijst met <maillijst>@mijndomein.nl Alle mails die naar die e-mail adressen worden gestuurd, komen dan in je eigen primaire mailbox aan. Dan weet je ook welke firma gehackt is. Tevens is het hiermee mogelijk om je usercode en wachtwoord per site aan te passen. IMHO zou geen enkele site je moeten laten aanmelden met een email adres.

Het nadeel dat emgaron meld wordt verholpen door goede antiphishing en antivirus diensten van je forwarder en internetprovider want die zorgen dat de grootste rommel gewoon in de junkmail folder komt.

Zoals @Jesse89 ook meld is het mailen vanuit een alias een uitdaging. Helaas is XS4ALL met de nieuwe webmail gestopt met de alias functionaliteit waardoor je dus niet meer kunt antwoorden met <webshopnaam>@mijndomein.nl en steeds op zoek moet naar een contactformulier :-(

@Bryan Helaas draait Thunderbird niet op mobiele devices, er schijnt wel een Outlook versie te gaan komen die aliassen ondersteund. Eerst nog eens zien.
K9 op Android ondersteunt aliassen
Je zal ook nog wel eens uitgaand moeten mailen met zo'n adres, dus dan werkt dit helaas niet.
Jawel, ik doe dit altijd via Thunderbird.

Klik bij het sturen van een mailtje bij "From" op het mailadres, klik vervolgens bij de dropdown op "Customize From Address". Hier kun je dan je custom naam opgeven.
Zover ik weet kan dit niet met Outlook i.c.m. Exchange/Microsoft 365?
Volgens mij kan je alleen namens een (shared) mailbox of distributielijst mailen (en hopelijk binnenkort ook als met een alias adres: https://www.microsoft.com...ilters=&searchterms=64123)
Beste Jesse89,
Aangezien XS4All gestopt is met aliassen in hun nieuwe webmail :-(, ben ik op onderzoek uitgegaan. Je kan tot 400 aliassen toevoegen op een email adres maar dan moet je het Active Directory on-premise tablad hebben zoals in voorbeeld:https://www.quantumsoftware.com.au/Support/KB/Article.aspx?KBArticleID=17

Of natuurlijk met PowerShell:
Set-ADUser -Identity user1 -Add @{Proxyaddresses="smtp:info@contoso.com"}

Wanneer je SMTP in hoofdletters gebruikt, is dit het primaire e-mail adres!
En als je bij Thunderbird onder account instellingen vanuit de identiteit reageren als afzender adres instelt, op bv *@domeinnaam.nl dan hoef je dat niet per bericht te doen, dan dan word automatisch het adres gepakt waarna het is verzonden als from ;)
Dat doet Keepass wel voor mij... ik hoef enkel mijn vingerprint te geven en ik ben ingelogd.
Aanvulling bij zakelijke email van Google wordt wel rekening gehouden met de punt.
Dots don't matter in Gmail addresses
If someone accidentally adds dots to your address when emailing you, you'll still get that email. For example, if your email is johnsmith@gmail.com, you own all dotted versions of your address:

john.smith@gmail.com
jo.hn.sm.ith@gmail.com
j.o.h.n.s.m.i.t.h@gmail.com
Note: If you use Gmail through work, school, or other organization (like yourdomain.com or yourschool.edu), dots do change your address. To change the dots in your username, contact your admin.
Bron: https://support.google.co...ts,john.smith%40gmail.com
Die + probeer ik ook vaak te gebruiken. Maar er zijn sites dat het emailveld niet werkt met aanmaken als er een + in staat. Nu al meerder malen gehad.
Qmail heeft al sinds jaar en dag de zogenaamde dot-qmail extensions waarbij je middels een '-default' van een mailadres een soort van catch-all kunt maken.

Je zou dan een pitforce-default kunnen aanmaken en alles na 'pitforce-' wordt afgevangen door dit emailadres (pitforce-default). De meeste -default mailadressen sturen de mail naar het adres zonder '-default'.

Maar je kunt dan zonder problemen pitforce-tweakers@domain.org gebruiken. Ik ben nog geen enkele website tegen gekomen welke een streepje blokkeert..

Tenzij je een echte catch-all instelt (bij mij staat deze naar /dev/null te wijzen), komt een tweakers@domain.org dus niet aan. Ezmlm (mailinglist package for Qmail) gebruikt deze extensies per mailinglist zodat een mail sturen naar list-unsubscribe@domain.org voldoende is om van de lijst af te gaan. Met list-subscribe kun je je aanmelden voor de lijst.
Ik host mijn eigen mail en kan daarin meerdere tekens toestaan als splitsing, dus ook bijv. een laag streepje (dat ik verder nergens in echte adressen gebruik)
het zou prettig zijn als gmail een dergelijke service maakt, willekeurige adressen die je aan kunt maken die uitkomen op jouw. Gelijk aan apple's privacy-feature.

Knop in gmail:
nieuwe privé-alias aanmaken >
naar wie stuur je deze alias? >
"Garage" > OK, hier de alias:
2a85602577aa2260ba95d6e77b5e3f67@gmail.com

met volgende optie: alias loskoppelen. Wil je geen mail meer van je gelekte garage-adres? Loskoppelen en ze kunnen nooit meer contact opnemen.
Ik ben Apple leek. Hoe werkt dat precies? Ik zie het wel eens bij klanten staan en neig er steeds meer naartoe om een iPhone te kopen om zo veel mogelijk spam te vermijden. Iedere keer weer een webshop o.i.d. waar mijn mail adres is gelekt, om verdrietig van te worden.
Werkt het een beetje via Apple, je `hoofd mail adres´ is altijd afgeschermd van anderen?
Freedom heeft zoiets alleen maar wel 1 volgens mij.
Freedom maakt random aliases als je gegevens aan een leverancier worden doorgegeven. Die blijven actief tot ze niet meer nodig zijn. Ook krijg je een vaste random alias op een ander domein zodat het wat minder zichtbaar is dat je bij Freedom zit. Daarnaast kan je zelf 12 @freedom.nl aliases per mailbox toevoegen en onbeperkt op het eigen .nl domein. Hierop is ook catch-all mogelijk.

Dit is echt de meest privacy vriendelijke provider die ik ooit heb gezien.

Edit: ik zie dat het subdomain username.freedoom.nl niet meer instelbaar is.

[Reactie gewijzigd door FvdM op 26 maart 2021 11:26]

En dan kun je dus niet meer bij je account als zij, vanwege het datalek, het wachtwoord aanpassen. Als jij hun datalek dus opmerkt moet je eerst een nieuw alias koppelen.
Misschien is https://anonaddy.com/ wat voor je, kun je aliassen on the fly aanmaken door ze ergens in te vullen en als ze gemaild worden komen ze aan in een mailadres dat je zelf ingevuld hebt.
Je kunt ook nog encryptie toevoegen tussen deze server en je mailprovider, en eventueel reageren vanuit dit alias.
Het is ook mogelijk om random/UUID aliassen te genereren en deze te gebruiken, dit is wel iets meer moeite dan bijvoorbeeld bij een nieuwe registratie naamvanservice@gebruikersnaam.anonaddy.com in te voeren.
Dit klinkt als exact wat ik zoek! Ik ga er naar kijken
Ah, en dan zijn die hackers zo slim om zo'n database te bemachtigen, maar dan zijn ze dus niet zo slim om alles na de naam+ te verwijderen? 8)7
Niet voor miljoenen records, dan is dat niet interessant.

Maakt overigens ook niet uit, want ook met die plus komt het aan, je kunt dan alleen zien welke bron er gelekt is.
Het is echt letterlijk 10 seconden werk omdat te fixen.
Vind het die 20 euro per jaar wat ik kwijt ben aan een domein en hosting wel waard om het spamprobleem op te lossen.
Altijd leuk als je een email moet doorgeven.
>Wat is je email waar je op kunnen contacteren?
<dierenwinkelamsterdamcentrum@mijndomein.nl
>Maar dat zijn wij? :?
Altijd leuk ja.....
Oh werkt u ook voor Mediamarkt? O-) 8)7 Dat geeft ook meteen aan waarom phishing soms werkt.
Dat catch all werkte bij mij niet optimaal altijd. Ik heb bij enkele organisaties gehad dat e-mail niet aankwam op mijn eigen domein. Dat was met name bij financiële instellingen.

Het e-mail adres stond écht goed in het portaal van de financiele instelling, financieleinstellingnaam@mijneigendomein.nl maar kennelijk werd ergens in de keten de mail geblokkeerd of gefilterd. Toen ik de naam in spiegelbeeld gezet had kwam het ineens wel door.

Iemand vaker dit probleem gehad?
Waarschijnlijk gedoe met spf/dkim/dns of iets anders. Gebruik zelf mxtoolbox om snel fouten te vinden, maar komt helaas ook vaak genoeg voor dat het probleem aan de andere kant zit.
Je hebt ook https://anonaddy.com/ waar je aliasses kan aanmaken. Op deze manier beschermd je je eigen domein als je catchall zou gebruiken.

Ik heb het nog niet gebruikt overigens, echter was ik me toevallig aan het verdiepen erin.
niet elk web form accepteert een plus in het mailadres, ik heb dit inderdaad heel lang gebruikt, maar de structuur wordt steeds vaker geweigerd :(
Ik gebruik een vergelijkbare methode op een plaats. de naam ZONDER +xxxxx is dan per definitie een spammail, in dat geval helpt het strippen dus niet meer.
Je eigen mail server runnen ?
Heb daar een docker omgeving mee met MailCow, simpel op te zetten, maar kost even wat moeite, met eigen domeinnaam en spam filter.
Daar kan ik oneindig veel email adressen en domeinnamen mee hosten, maar goed, heb ook 2 servers in een datacenter hangen, dus is niet altijd een makkelijke oplossing voor derden.
Yep same here in mijn geval Stern (Ford ardea). Ik heb ze twee maanden geleden al gewaarschuwd voor een datalek maar ze reageerden uitermate lauw en zou niets aan de hand zijn het zou allemaal niet waar zijn.

Maar net als bij jou het is een volledig volstrekt uniek e-mailadres dat maar één keer is gebruikt en in slechts één database is voorgekomen, en dat is die van hen. Dus zeker weten wel uitgelekt en verkocht aan Spammers/phishers.

[Reactie gewijzigd door Ro-Maniak2 op 25 maart 2021 08:44]

Dat lees ik vaker bij dit soort datalekken. Mensen melden dat een UNIEK adres voor spam gebruikt wordt, en eerste reactie is NIETUS niks aan de hand, of helemaal geen reactie. Maaaanden later als de data nog 5 keer verkocht is volgt er pas berichtgeving over.

Als organisatie een setje fake/dummy adressen in je database zou toch een lek al sneller moeten kunnen detecteren en traceren waar je data allemaal gebruikt wordt. Maar goed dat is allemaal put dempen als kalf verdronken is.
Thanks voor de tip, hier had ik serieus nog nooit over nagedacht!
Jij komt er just erg makkelijk vanaf.

Dat specifieke adres naar de blackhole en maak een nieuwe aan voor zoals garagenaam2@domein.nl voor ze.

Ik doe juist om die reden hetzelfde.
Voor elk bedrijf een uniek adres en je ziet meteen waar de spam vandaan komt.
Van phishing spam komen we sowieso niet af met het huidige, anonieme mailsysteem :+

Ik doe dit ook (naamVanWebsite@mijndomeinnaam zodat ik altijd kan zien aan wie het mailadres is uitgedeeld), in combinatie met een catch-all emailbox.

De volgende stap is: Combineren met een ‘lerend’ spamfilter / wat je kunt trainen.

Ik gebruik SpamSieve maar er is keuze genoeg.

Lekt een emailadres dan uit naar spammers, dan is bijbehorende spam er eenvoudig uit te filteren, voor zover je spamfilter dat zelf al niet doet.
Wanneer je dit e-mail adres hebt met een eigen domein is het heel eenvoudig om het bestaande e-mail adres te verwijderen en een nieuw e-mail adres maken. Zo doe ik dat namelijk ook. Wanneer ik het dan weer zat ben om op een bepaald e-mail adres rotzooi te krijgen, maak ik gewoon een nieuw e-mail adres.
Ja die zijn het bij mij ook vooral. Met name het Actualisatieformulier :+ van ICS staat welhaast dagelijks weer voor mij klaar om dringend te worden ingevuld. Blijft alleen gek dat ‘ICS’ mailt naar fordardea@.....
Klopt :) Issue speelt al jaren en met meldingen wordt niets gedaan.
Mag ik je feliciteren, welkom in de datapool.
Houd er ook erg in(zeker bij eigen domein) dat er van streaming, voertuigverhuur tot bezorgdiensten accounts aangemaakt zullen worden op dat mail adres, waarbij je dus ook dienst eigen bevestigingsmails zult ontvangen.
Als het deze breach betreft, is het nog wat serieuzer gezien de persoons-informatie die er aan hangt.

Maar maak je geen zorgen(ook als je nog geen slachtoffer bent), de overheid stimuleert wel dat je gegevens op zoveel mogelijk plekken geregistreerd zijn voor administratieve doeleinden, en afgelopen week waren er zo te zien op https://www.security.nl/archive/1 maar 5 berichtgevingen hierover...

[Reactie gewijzigd door CHBN op 25 maart 2021 19:22]

Het wordt denk ik ook tijd om anders met persoonsgegevens om te gaan. Ik vind het bizar dat we nog steeds zo afhankelijk zijn van persoonsgegevens die overal centraal (op verschillende servers, in handen van derden) worden opgeslagen. Misschien moeten we het anders doen. Decentraal (op een eigen omgeving) opslaan en via een koppeling eenmalig toestemming geven om die gegevens in te zien, in plaats van op te slaan. De gegevens worden daarna vanzelf verwijderd na de transactie en een log wordt vervolgens met encryptie bewaard die dan alleen op aanvraag decentraal is in te zien. Dit is allemaal conceptueel, maar ik vind het bizar dat er zo veel bedrijven zijn die mijn persoonsgegevens (moeten) bezitten.

[Reactie gewijzigd door Rhinosaur op 25 maart 2021 07:41]

Dat kan, moet alleen even de belastingwet worden aangepast. Ik denk niet dat de overheid staat te springen om het verminderen van de hoeveelheid NAW-gegevens die bedrijven in hun belastingpapieren bijhouden, helemaal als het gaat om fraudedetectie.

En er moet natuurlijk ook een manier worden gevonden om normale mensen zo'n systeem ook te laten gebruiken; Digid is voor veel mensen bijvoorbeeld een grote drempel, dus het moet simpeler zijn dan dat. Maar, je wilt natuurlijk ook niet dat er maar 1 grote partij is die al die gegevens gaat verzamelen, want Google, Apple en Facebook zien hun kans natuurlijk schoon zodra hier een gestandaardiseerd systeem voor is.

Dan moet je het systeem nog auditbaar maken om te zorgen dat witwassen wordt voorkomen. Iedere informatieprovider moet de nodige gegevens kunnen overhandigen aan de FIOD zodra die daarom vraagt, inclusief de hele ordergeschiedenis. Al die gegevens moeten natuurlijk ook weer niet worden verkocht of gedatamined, dus ergens moet ook nog een verdienmodel komen voor aanbieders van dit soort diensten. Alternatief kunnen we de overheid vragen dit systeem op te laten zetten, maar eerlijk gezegd vertrouw ik de overheid niet zo om permanent mijn bestelgeschiedenis te bewaren. Dan drukt er iemand op de exportknop en worden die gegevens verkocht, net zoals bij coronatests. De beste plek lijkt mij om dit te integreren met de opvolger van Digid, hoe die er ook uit komt te zien. Echter maakt dat het wel weer onmogelijk om uit het buitenland te bestellen, iets dat de Europese Unie weer verplicht maakt, dus het oude formulier moet dan blijven, wat de meeste mensen toch invullen want dat scheelt weer zo'n moeilijke inlog.

Ik denk dat zo'n systeem in de praktijk niet goed bruikbaar is. Er is een reden dat bedrijven worden geëist dit soort gevevens zeven jaar lang te bewaren voor de belastingdienst, en daar zul je eerst vanaf moeten eer je een decentraal gevevenssysteem kan bouwen. Technisch gezien is het triviaal te implementeren, aan zowel de client-als serverkant, bijvoorbeeld met OAuth door persoonsgegevensbedrijven of postbezorgers, maar in de praktijk moet je nog allerlei andere problemen oplossen die niks met gegevens of computers te maken hebben.
Digid is voor veel mensen bijvoorbeeld een grote drempel
Daarnaast ook nog eens vreselijk arrogant dan wel irritant. immers: je dient je e-mail-adres op te geven dus als er iets te melden is sturen we naar dat e-mail-adres een berichtje dat.. .. er een bericht staat in de 'eigen' berichten box waar ik al helemaal niet om gevraagd had.. net als bijvoorbeeld de bank (waar ik dus inmiddels al zo'n 50 ongelezen berichten heb staan) en de salaris-administratie die me alleen in mijn eigen inbox meldt dat er weer zoveel is verbeterd en veranderd maar de relevante informatie alleen geeft door in de door hen verzonnen mailbox te kijken..

Zo jammer.. stuur gewoon wat je te melden hebt naar mijn e-mail adres.. toch? o nee, dat kan niet want dit is.. .. .. veiliger?!
De "door hun verzonnen mailbox" is ook veel veiliger. Doordat ze je nooit een e-mail sturen, kunnen ze je overal vertellen dat mailtjes van de overheid waarin je om gegevens gevraagd wordt, altijd nep zijn.

De overheid hoeft maar een enkel mailtje te sturen met gegevens en/of een directe link naar actie te sturen en het precedent is meteen gezet zodat alle scammers weer flink kunnen cashen. Want, zo blijkt, soms mailt je overheid wel, dus misschien is die mail over dat rijbewijs toch waar...

Zo heb ik zelf meegemaakt dat een bedrijf waar ik werkte, dat onder andere mailboxen beheerde, door een fout teveel quota had toegewezen aan klanten. Sommige klanten hadden 4GiB van hun 1GiB mailopslag gebruikt; dat kostte het bedrijf klauwen met geld, omdat de hoster boven de 1GiB extra ging rekenen. De "oplossing"? Alle klanten uit de database zoeken, en een mailtje sturen. Niet heel handig. Dit werd gevolg door een ronde van klanten opbellen ("Hallo, dit is uw mailprovider" blijkt ook niet echt heel veel vertrouwen op te wekken).

Nog geen maand later ging er een scammail in de rondte. De officiële mail was alles behalve goed voor het aantal slachtoffers dat in die scamronde viel. Het scammailtje was in goed genoeg Nederlands getypt dat het niet onderdeed aan een ander bedrijf die de onderbetaalde stagaires alle mailtjes laat opzetten. Toen klanten zich achteraf afvroegen hoe ze nou moesten ontdekken welke mail er echt was geweest, kregen ze een heel verhaal over het dubbel nalezen van de afzender, gemaskeerde mailadressen, het nalezen van headers, etc. Nee, ik heb wel geleerd dat het een hoop problemen kan voorkomen om gewoon te kunnen zeggen "als u om gegevens wordt gevraagd, is het nep, log altijd in op onze website en klik niet op links in de mail".

Als IT'er is een (ongeraffineerde, want ook IT'ers vallen voor phishing) phishingmail goed te herkennen en weet je precies welke SMS wel van Digid komt en welke niet. In dat geval kan de inhoud van de mail inderdaad prima direct naar je mailbox komen. Het gros van Nederland heeft echter geen idee, en als die een vinkje vinden wat neerkomt op "niet meer inloggen op die stomme inbox" zetten ze die aan.

Ik ontvang zelf twee of drie keer per jaar een berichtje van de overheid, dan is die berichtenbox niet zo'n probleem, eigenlijk. Mijn bank mailt me hooguit twee of drie keer per jaar. Ik heb ook geen idee waar je 50 ongelezen mailtjes van de bank vandaan komen, klinkt als een notificatie-instelling die verkeerd staan. Gewoon een keer op afmelden klikken bij de volgende reclamemail, hoef je je daar ook niet aan te storen.
Die vijftig mailtjes van de bank is een zorgvuldig opgebouwde collectie in de afgelopen 15 jaar.. niet een verkeerde instelling volgens mij en eerlijk gezegd wel grappig: zoveel wat ze me misschien hadden wilden melden maar waar ik op deze manier geen boodschap aan heb.. de app biedt tenslotte om de haverklap vernieuwingen waar ik geen behoefte aan heb maar de functie die me wel nuttig dan wel handig leek (contactloos betalen met je telefoon) bleek een drama te zijn door herhaaldelijk zinloos wapperen met je telefoon bij de kassa om na niet bepaald verhelderende foutmeldingen alsnog je pinpas te moeten gebruiken.

En overheid en ICT roepen bij mij nu bepaald een gevoel van vertrouwen en zekerheid op, al zijn mindere ervaringen uit het verleden natuurlijk geen garantie voor de toekomst..
Ik zie mogelijkheden voor drugsdealers e.d om zich meer richting een grijs gebied te gaan begeven, voorvechters der bescherming van NAW gegevens door het ontbreken ervan :9

[Reactie gewijzigd door URKb8DvHFz op 25 maart 2021 10:35]

Ja maar het is niet eenmalig, boekhoudwetgeving hier verplicht om gegevns bij te houden voor 10 jaar, maw ik moet tot 10jaat na dtum jouw gegevens hebben. Voor een architect, electricien is dit zelfs 25 en 20 jaar voor schemas en plannen.
Voor de rest kan het wel, maaaaaar ik,wil wel zoeken op naam klant, niet alleen op nummers. Want als klant x belt weet ik, ie5 meer zijn dossier, gegevens van 5 jaar terug. En dan ook geboortedatum, vele bedrijven gebruiken dit voor een promo rond je verjaardag. Maar soms zoals bij een vezekring word5 daar je premie op berekend. Stel jij neemt een dienst af, dan moet ik ookmaandelijks je gegevens hebben voor je factuur. Niet dat het niet kan, maar het zal verre van 1 malig zijn, natuurlijk kan je al smoelboek of Google gebruiken :). Deze doen dat maar al te graag voor jou
Correct me if I’m wrong, maar volgens mij zijn de persoonsgegevens niet hoofdzakelijk verplicht. Die zijn alleen nodig om te kunnen bewijzen dat persoon x gebruik heeft gemaakt van dienst of product y. Niet omdat er daadwerkelijk juridisch een noodzaak is. Bovendien zou je die gegevens ergens anders kunnen opslaan en via een Identifier of iets kunnen checken met de transactie in jouw systeem. Zo hoef jij niet de persoonsgegeven te bewaren.

Volgens mij is de wet ook sterk verouderd en komt het uit een tijd dat alles op papier werd opgeslagen en gevoeliger was voor fouten (kwijtraken).

We zouden gewoon met z’n allen moeten nadenken of het echt zo noodzakelijk is om persoonsgegevens te hebben. Ik hoef bijvoorbeeld zelf geen cadeautje van een bedrijf als de prijs daarvoor mijn persoonsgegevens zijn.
In ieder geval is er een noodzaak om aan de fiscale bewaarplicht te voldoen. De belastingdienst verplicht een ondernemer om zijn administratie tenminste 7 jaar te bewaren. In die administratie zitten ondermeer persoonsgegevens (stamgegevens) van klanten. Denk daarbij bijvoorbeeld aan facturen (PDF, UBL) die aan consumenten gericht zijn en derhalve de adresgegevens van een persoon bevatten. Het is volgens diezelfde fiscale bewaarplicht noodzakelijk om harde kopieën te bewaren van facturen.

https://www.belastingdien..._uw_administratie_bewaren
Correct me if I’m wrong, maar volgens mij zijn de persoonsgegevens niet hoofdzakelijk verplicht. Die zijn alleen nodig om te kunnen bewijzen dat persoon x gebruik heeft gemaakt van dienst of product y. Niet omdat er daadwerkelijk juridisch een noodzaak is.
Stel je bent garagehouder of huisschilder. Je moet aan kunnen tonen aan de fiscus dat je daadwerkelijk voor persoon A of bedrijf B die klus gedaan hebt. (Omdat het anders bijvoorbeeld wel erg makkelijk geld witwassen is.)

Je zou natuurlijk alles zoveel mogelijk met de hand op kunnen schrijven. :+ Bijvoorbeeld qua agenda zou dit nog wel lukken. Maar qua bankafschriften wordt het redelijk onmogelijk. Klanten een herinnering sturen voor de APK wordt een tijdrovende klus. Elke factuur en berinnering met hand adresseren..

De helft van de werknemers werkt als eenmanszaak of bij een midden/klein bedrijf waar hooguit een handjevol mensen werkt en vaak maar één persoon de administratie doet. Dat zal bij de betrokken garages uit dit bericht niet heel anders zijn.

Kortom mensen die vaak al de administratie als taak ‘erbij’ hebben, moeten dan ook nog gescheiden databases gaan gebruiken en dergelijke. Ik begrijp dat je het goed bedoelt, maar in de praktijk zal het er op neerkomen dat mensen hier niet op zitten te wachten.
Feitelijk is het onzin dat het opslaan van NAW-gegevens echte fraude helpt tegengaan.

Want wie controleert die NAW-gegevens? Juist het opslaan van een unieke identifier is beter maar dat betekent dat de belastingdienst weer alles van de burgers afweet... :O

En adres gegevens zijn ook nog eens niet zo vast als we denken - adressen verdwijnen wel degelijk (niet vaak).

Vervolgens bestaan er ook weer 'oplossingen' als kat-vangers.

Vanwege een rommelig en onoverzichtelijk belastingsysteem worden extra veel gegevens gevraagd/opgeslagen maar ondertussen is het enkel onhandig voor de nette bedrijven/burgers en komen de fraudeurs met van alles weg.
Voor alle duidelijkheid: Ik heb het niet bedacht en ik verdedig het al helemáál niet als 'goed systeem' of zo. ;) Ik probeer alleen de redenatie / logica van wat we nu als systeem hebben, iets begrijpelijker te maken.

Inderdaad: Niets is waterdicht. Alleen is het vanuit het standpunt van een club als de Belastingdienst wel begrijpelijk dat ze niet elke ondernemer op zijn blauwe ogen geloven als het om financiën gaat.

Natuurlijk zijn er 'oplossingen' zoals katvangers etc, maar als een groot deel van je omzet daar op leunt / x aantal van je klanten een katvanger blijkt te zijn etc, trekt de Belastingdienst daar haar conclusies uit en heeft dat voor jou ook consequenties.

Bekijk het eens van de andere kant. Je opdracht is: Het uitvoeren van de belastingregels, waaronder het controleren of bedrijven de belastingregels niet al te gortig overtreden. Hoe zou jij dat in het vat gieten?
Oh - het was zeker geen kritiek op jouw opmerking hoor.

En antwoord op jouw vraag: vanwege het rommelige systeem is fraude te verwachten want lucratief en relatief simpel (voor kwaadwillenden).
Daarom moet de belastingdienst altijd van het slechte uitgaan. Dus iedere burger/bedrijf is onbetrouwbaar is dan de stelling. Maar dat is natuurlijk heel erg krom.
Nu is het juist zo dat ze zelf ook veel fouten maken - maar dat is dan het probleem van het bedrijf/burger.

De fix is niet bepaald simpel natuurlijk - maar minder regels en minder stromen proberen te controleren gaat vast wel helpen.
Soms denk ik wel eens.. Zet alles gewoon in één grote, zo goed mogelijk beveiligde database, in plaats van zoals nu in 100 databases van de overheid en 1.000 bedrijven zoals webwinkels en fysiotherapeuten. Want nu ligt in feite ook je adres altijd wel ergens op straat, met zoveel aanvaksvlakken. En dan is de helft veroudert en is het onmogelijk om iets te corrigeren, of zelfs maar in te zien of het nog klopt en wat er verzameld is, want je hebt geen idee wie wat nog van je heeft.

Een centraal db lemma van jou, die je zelf onder controle hebt. Waar je zelf kunt zien wie/wat van je kan inzien en je dat weer in kunt trekken.

Bedrijven mogen dan alleen communiceren door te mailen, bellen, whatsappen etc naar het adres / nummer in die db, die alleen voor hun/jou contact is.

Wie dit niet wil – even goede vrienden – daarvoor zetten we in de db dat je vrij benaderbaar bent.
Inderdaad, NAW's veranderen ook steeds (met name de A en W natuurlijk ;) ) en 7 jaar later is dat erg lastig nog na te gaan.

Beter zou zijn een uniek nummer dat niet voor authenticatie gebruikt wordt (dus niet het Sofinummer!). Zo doen ze dat hier in Spanje. Je hebt een intern belasting / sociale zekerheid nummer dat je geheim houdt en een publiek kort nummer dat iedereen mag weten. Dat moet je opgeven als je een pakketje bezorgd krijgt, een bestelling doet bij de media markt of ikea enz.

Uiteraard hebben sommige bedrijven ook nog je NAW nodig maar dat is dan vaak om logistieke redenen zoals bezorging.

Het enige dat me hiervan wel tegenstaat is dat niet veel de bedrijven tegenhoudt om dit nummer te gebruiken voor tracking. Alleen de wet. Maar de GDPR is nogal een papieren tijger gebleken.

[Reactie gewijzigd door GekkePrutser op 25 maart 2021 19:32]

In dit geval misschien niet altijd - ik ben bijvoorbeeld twee keer aangeschreven vanwege een recall van mijn auto. In beide gevallen ging het om mogelijke problemen met een airbag. Ik snap goed dat ze in die gevallen de eigenaar van de auto persoonlijk en per brief willen aanschrijven.
Die plicht is er wel maar zou inderdaad sterk gemoderiseerd kunnen worden om privacy te beschermen. Dat is wel een enorm ingewikkelde klus en een transitie van 10+ jaar minimaal.
7 jaar. Indien er vastgoed bij komt kijken, 10 jaar.
Apart, dat staat tenslotte al in openbare registers. Is dat recent? Of bedoel je puur de geldstromen (ivm bijv schaduw eigenaren van vastgoed)

[Reactie gewijzigd door TWeaKLeGeND op 25 maart 2021 11:39]

Een blockchain voor het inzien van NAW-gegevens. Hmm. Best wel een idee.
en hoe werkt dat met GDPR en het recht om vergeten te worden, ??

Success met removal verzoeken in je blockchain

[Reactie gewijzigd door Scriptkid op 25 maart 2021 08:53]

Het recht op vergetelheid is in dit geval niet van toepassing gezien er geen rechtspersoon is die de gegevens bewaard.
Dat kan, key intrekken en niemand kan hier meer bij.
Blockchain hoeft hierin alleen gebruikt te worden voor het verifiëren van bedrijven en inlogpogingen. Persoonlijke gegevens kunnen prima in een eigen silo.

Stel: je zorgverzekeraar vraagt inzage in je gegevens. Je kunt zeker weten dat het je zorgverzekeraar is, omdat hun persoonlijke certificaat is geverifieerd in de blockchain. Je wordt geacht deze goedkeuring binnen 24 uur te verstrekken. Als je die verstrekt kan de zorgverzekeraar de informatie die je goedkeurt inzien, en wordt deze sessie gelogt.

Op zo'n moment beperk je veel mogelijkheden EN leg je keihard vast wie wat doet. Bij een breach is te achterhalen en een duidelijke schuldige aan te wijzen.

De echte implementatie moet beter, aangezien je hier nog moet vertrouwen op het feit dat de zorgverzekeraar netjes omgaat met de data. Een betere oplossing zou zijn als de zorgverzekeraar bepaalt wat ze nodig hebben aan data en hier een hash van berekent. Ze vragen aan je om die informatie, en jij stuurt enkel de hash op. Ze hebben dan niet de inhoud, maar weten wel dat deze inhoud klopt.

Ook daar kan ik me voorstellen dat zo'n encryptie, ALS ie gekraakt wordt, wel ineens ALLE data vrijgeeft...
Wat mij betreft is de overheid dan aan zet de boekhoudwetgeving(te beginnen op toepassingen m.b.t consumenten) te versoepelen omtrent gegevens die niet zomaar te verwerpen zijn, anders komt hier geen einde aan, en blijft de overheid maar een voedingsbodem opleggen voor deze niet te vermijden problematiek.

-Stel jij neemt een dienst af, dan moet ik ook maandelijks je gegevens hebben voor je factuur.
Als ik vooruit betaal zou het geen punt moeten mijn gegevens pas te ontvangen na een verzoek aan mijn service over een open standaard(dit geeft mij ook inzage op excessief/onnodig gebruik), desnoods uitbesteed aan een commerciële schijtdienst als men daar niet zelf aan willen beginnen.
Zo hoef men het ook niet langer dan nodig in één of ander brak wordpress systeem te houden, zolang er nog geen orders verzonden hoeven worden zouden die gegevens niet beschikbaar mogen zijn, reduceer de data, zo de gevolgen minimaal blijven.

-Voor de rest kan het wel, maaaaaar ik,wil wel zoeken op naam klant, niet alleen op nummers. Want als klant x belt weet ik, ie5 meer zijn dossier, gegevens van 5 jaar terug. En dan ook geboortedatum,
Zeker als retailer, verstrek diegene het ID of beschouw hem anders als nieuwe klant, eigen verantwoording kan geen kwaad, pw managers kunnen dat met gemak faciliteren.

-vele bedrijven gebruiken dit voor een promo rond je verjaardag.[/i]
Wat mij betreft valt dat onder misbruik, daar heb ik die gegevens niet voor verstrekt, zorg maar gewoon voor een eerlijke prijs op het moment dat een product gewenst is, dat wekt vertrouwen en doet men terug komen.
Elk bedrijf wat zo aan promotie doet/begint, verzoek ik tegenwoordig als het ff kan dan ook direct mijn gegevens te verwijderen, ben er gewoon klaar mee.

-Maar soms zoals bij een vezekring word5 daar je premie op berekend.
Na visuele controle op identiteit en geboorte datum zou een minimale id: 35486463, year: 1929, daarop voldoende moeten wezen.

[Reactie gewijzigd door URKb8DvHFz op 25 maart 2021 10:20]

Geen blockchain nodig voor dit idee toch?
Ik weet niet wat voor blockchain jij wilt gebruiken maar bij veel varianten is de data sowieso openbaar dus dat is juist het tegenovergestelde van wat je wilt.
Als ik met de post iets wil laten opsturen moet ik al mijn adresgegevens opgeven. Waarom kan ik niet bij bijv. PostNL een account maken (die verwerken mijn adresgegevens toch al) en dan de winkel simpelweg het ID of een winkel-specifiek afgeleid ID van mijn PostNL account geven?
En dan wordt PostNL gehacked. Schiet je imo niet veel mee op.
Je verkleint daarmee het aanvalsoppervlakte toch gigantisch? Van allerlei webshops (tientallen) naar een partij, welke ook nog eens niet perse de link tussen ID en NAW gegevens aan het internet te hoeven hebben hangen.
Die winkels zullen dan toch echt via een API die gegevens moeten opvragen bij PostNL, en moeten persisteren, want die moeten ook de komende 5 jaar geldige facturen kunnen overleggen van alles wat ze verkocht hebben, en daar hoort wettelijk ook een ontvangend adres op te staan.
In de afgelopen maanden hebben we gezien dat wetten vrij eenvoudig aan te passen zijn. Waarom maken ze van dat "PostID" niet gewoon een wettelijk valide adres? Gegevens zijn niet in te zien, enkel als daarvoor een verzoek voor wordt ingediend door de politie.
Interessante oplossing voor verzendadres, maar wat doe je met het factuuradres?
Maak er een FactuurID van?

als ik geld overmaak hoef ik ook niet het adres van de ontvanger op te geven bij de overboeking. Alleen naam en een uniek ID (in dit geval bankrekeningnummer) is voldoende.

Sla zo'n FactuurID centraal op (dat dan weer wel), en geef alleen het hoognodige aan persoonsinformatie vrij.

Hetzelfde kan ook met PostNL, laat de verzender een QR code op het pakketje plakken dat ze vanuit het systeem van PostNL krijgen bij het aanmelden van verzenden naar PostID, en bij ontvangst van het pakketje in het sorteercentrum wordt het daadwerkelijke verzendadreslabel op het pakketje geplakt.

Complex misschien, maar wel een stuk veiliger.
Waarom? Die winkel heeft eigenlijk bitter weinig info van mij nodig. Zelfs de verzendkosten kunnen door PostNL berekend worden en via een API-call ter berschikking van de winkel gegeven worden.. En als je mijn land van herkomst nodig hebt om de BTW te berekenen, dan kan dit ook opgehaald worden via een API die enkel die info doorsluist wanneer die info nodig is.

Facturen kunnen tegenwoordig ook gewoon per mail verstuurd worden, dus daar is ook geen fysiek adres voor nodig. Indien toch, dan kan PostNL dit adres zelf invullen op die factuur.

We kunnen nog een stap verder gaan: Zelf PostNL moet die adresgegevens niet opslaan, maar kan met een tijdelijk token die gegevens opvragen wanneer die nodig zijn. Die gegevens kunnen vervolgens in een centraal register opgeslagen worden dat op elk moment door de eindgebruiker inkijkbaar en aanpasbaar is. Je kan dan ook mooi loggen wie wanneer welke gegevens opvraagt, en access blokkeren wanneer je die niet nodig acht.
Die winkels zullen dan toch echt via een API die gegevens moeten opvragen bij PostNL, en moeten persisteren, want die moeten ook de komende 5 jaar geldige facturen kunnen overleggen van alles wat ze verkocht hebben, en daar hoort wettelijk ook een ontvangend adres op te staan.
Je kan nu al zaken via Pakjegemak laten versturen met als factuuradres de locatie waar het pakket wordt opgehaald (of zelfs iets fictief). Dat is dus al geaccepteerd.

Het ontvangende adres kan dus prima (een onderdeel van) PostNL zijn. Dit wordt al jaren geaccepteerd.
Dat is alleen bij particulieren van toepassing. Veel bedrijven gebruiken voor particulieren een 'verzamel' debiteur in de administratie zoals 'webklant' of 'kassaverkoop'. In dergelijke gevallen komt het factuuradres van de klant niet in de administratie terecht.

Echter bij zakelijke verkopen (ICL/ICD/ICP) moet het factuuradres officieel overeenkomen met het adres dat bekend is bij de belastingdienst. Nu weet ik uit ervaring dat hierop niet actief wordt gecontroleerd. Bedrijven (of vestigingen) verhuizen en dat wordt niet altijd tijdig in de administratie verwerkt..

Echter Pakjemak betreft alleen het bezorgadres. Je wilt echter niet Pakjegemak als factuuradres hebben staan omdat dit voor andere juridische problemen kan zorgen. Immers de entiteit op de factuur is de juridische eigenaar van een product, niet degene welke het betaald of ontvangt. Dit kan dus problemen opleveren met bijvoorbeeld garantie..
Echter bij zakelijke verkopen (ICL/ICD/ICP) moet het factuuradres officieel overeenkomen met het adres dat bekend is bij de belastingdienst. Nu weet ik uit ervaring dat hierop niet actief wordt gecontroleerd. Bedrijven (of vestigingen) verhuizen en dat wordt niet altijd tijdig in de administratie verwerkt..
Tja, whatever, die zijn toch al publiek. Het heeft geen enkele zin om die af te gaan schermen. Dit euvel is dus geen valide reden om het voor particuliere klanten niet beter te regelen.

Voor het factuurprobleem moet idd een oplossing worden gezocht. Maar het doel daarvan lijkt me voornamelijk het registreren van een identiteit, niet zozeer van een huisadres.

[Reactie gewijzigd door .oisyn op 25 maart 2021 12:25]

Maar je maakt het wel een super aantrekkelijk doelwit als je weet dat bijna iedereen zijn gegevens daar heeft. Het trekt dan grotere boeven aan.

Dus het is wellicht veiliger als je het vanuit je eigen perspectief bekijkt, maar op landelijk niveau, heeft die versplintering niet juist een afschrikkend effect? Dat het gewoon onpraktisch is om grote aantallen gegevens te stelen?
Maar je maakt het wel een super aantrekkelijk doelwit als je weet dat bijna iedereen zijn gegevens daar heeft. Het trekt dan grotere boeven aan.
PostNL heeft die gegevens nu ook al, maar dan op een andere manier. Er zijn alleen ik weet niet hoe veel webshops die dus gegevens van jou en mij hebben omdat je tien jaar geleden 1 keer daar een bestelling hebt gedaan. Als je dat doet via zo'n PostID hoef je je gegevens niet over te laten aan zo'n webshop.
Zo afschrikkend dat criminelen geen data proberen te stelen bedoel je?

Heb je het nieuws gevolgd de laatste tijd? Welk afschrikwekkend effect heb je het over?
Jawel, want je adres is algemeen bekend (die staat op elke plattegrond). Die hacker weet dan alleen niet wat je allemaal hebt besteld.
En toch doen we dat al. "meld je aan met je Google/Facebook account"
Momenteel werk ik ook steeds meer met 'authenticators' (google en windows).
Dit zou naar mijn idee ook erg geschikt zijn om te bewijzen dat het pakket daadwerkelijk van jou is.
Door het geven van een eenmalig unieke nummer aan de bezorger bewijs je dat het pakket voor jou is.
Zo een unieke code kan wellicht ook weer gebruikt worden om een dataset met een adres te ontgrendelen.
Nog beter, de winkel zou je gewoon jouw unieke bestelnummer moeten geven plus een afhaaladres, en jij mag dan helemaal zelf kiezen wie je er op uit stuurt om je post op te halen. Of in het geval van dit artikel; je auto.

Edit: Schijnbaar is inhoudelijk commentaar en discussie tegenwoordig zowel een "0 - Offtopic" als een "2 - Informatief" waard. Wil iedereen die bovenstaande reactie offtopic vond, even reageren waaróm dat zo zou zijn want ik zie het niet?

[Reactie gewijzigd door Skit3000 op 25 maart 2021 10:35]

Zitten wat haakjes en oogjes aan maar die optie zou voor zat winkels een reële optie zijn. Een van de grootste haken is uiteraard dat niet iedereen zaken doet of wil doen met postnl. Moet je dan weer met een centrale database werken waar alle post en koeriersdiensten (incl de minder legitieme) aan gekoppeld zijn? Daarnaast kan het voor de winkelier wel degelijk uitmaken te weten waar het product heen gaat en naar wie. Maar dat is minder erg zolang het systeem een systeem is van keuze. Maar ook dat is weer niet zo zwartwit, krijg je consumenten die geen zaken meet willen doen met webshops die zich niet bij zo'n ding aansluiten (terecht of onterecht zal de consument niet altijd naar kijken). Verder is het ook ietswat lastig met klantcontact als er enkel met nummers en ID's gewerkt gaat worden, maar dat is iets waar aan te wennen valt.

[Reactie gewijzigd door TWeaKLeGeND op 25 maart 2021 11:34]

Persoonlijk zou ik dan eerder zeggen een privacy bedrijf waar je een account aanmaakt (bv bank). Waar bedrijven een link kunnen krijgen om de gegevens op te halen voor als ze het nodig hebben. Winkel kan link niet inzien. PostNL bijvoorbeeld wel. Kan ook direct gebruikt worden voor boekhoudsystemen. Alleen de link naar een klant opslaan. Per transactie natuurlijk wel een nieuwe link. Werkt direct profiling en al de ander troep ook tegen. Uiteindelijk werk je met dit soort dingen wel in de hand dat je uiteindelijk een chip of iets anders in je hand of voorhoofd krijgt, om jezelf te identificeren en te kunnen winkelen. Klinkt weer lekker bijbels.
Ken je de IRMA app?

Verder bordurend op je idee: net als er nu verschillende E-herkenning aanbieders zijn zou ik me kunnen voorstellen dat je als consument een partij kan kiezen die je jouw gegevens laat beheren.
Daar zijn dan certificeringen etc voor en je hoeft niet al je gegevens bij dezelfde partij te laten beheren.
Die beheerders hosten de gegevens voor jou en worden daarvoor betaald door jou of per toegang door externe partij oid.
Via hetzelfde mechanisme als bij IRMA kunnen bijv webwinkels alleen de benodigde gegevens (wel of niet 18+ etc) opvragen.
Het principe van Self-sovereign identity. Er zijn ook bedrijven mee bezig maar mijn ervaring met projecten is dat de projecten vroegtijdig afgekapt worden omdat het niet genapt word, iemand hogerop het magie vind of men de meerwaarde niet ziet.
Inderdaad, misschien moeten we omdenken. Een ander idee zou kunnen zijn dat persoonsgegevens geen waarde zou moeten hebben. Als het geen waarde heeft, waarom zou iemand ze dan stelen en verkopen? We kunnen ook accepteren dat persoonsgegevens gewoon op straat liggen. Dat is namelijk toch al het geval na een paar grote datalekken. We moeten dan wel iets bedenken om misbruik tegen te gaan. Wellicht is een systeem met certificaten, net zoals we websites valideren, bruikbaar om afzenders te valideren? Ik werd laatst gebeld door de bank en ze vroegen ter verificatie mijn postcode en geboortedatum te geven. mijn antwoord: Hoe weet ik dat u bent wie u zegt dat u bent? Lange discussie volgde dat ik dat aan het tel.nummer wel/niet zou kunnen zien.... als ik ze nu een code kon geven (gelijk aan inloggen bij de bank) en ze mij het resultaat terug konden geven. Dan wist ik zeker met wie ik te maken had, einde misbruik van persoonsgegevens! Het lijkt me dat zoiets technisch wel mogelijk zou moeten zijn. Eventueel zou een transactie 'uit jouw naam' ook digitaal ondertekend kunnen worden voordat deze rechtsgeldig is. Ook dan pak je misbruik van persoonsgegevens effectief aan. Omdenken dus: accepteren dat deze gegevens op straat liggen en oplossingen tegen misbruik bedenken!
Dat gaat niet. Stel je koopt wat bij een webshop, dan moeten al je naw gegevens op de factuur komen te staan. Die facturen moet je dan minstens 7 jaar bewaren!
digi.me is hier een goed voorbeeld van. Alleen kip-ei verhaal. :P
De werkwijze van informatie gegevens opslaan zit geen vraag achter voor toestemming van de klant.
Je loopt naar de balie wat is uw adres heeft u een Mail adres en telefoon nummer zodat we u kunnen bellen of mailen etc etc.laat staan kopie van je ID of rijbewijs.

Energiemaatschappijen de verkopers aan de deur of in de mediamarkt bij een standje vragen ook niet mogen we uw gegevens in ons systeem vastleggen.

Ook bij de garage aan de balie voor een afspraak eenmaal de gegevens altijd in het systeem bij de garage kom je de volgende keer weer hoef je alleen je naam maar te geven want je staat nu eenmaal in hun systeem daar wordt nooit toestemming voor gevraagd aan de klant om hun klantgegevens in hun systeem te mogen zetten en wat ze er verder mee gaan doen.

Dat de gegevens op straat komen te liggen zal de meerderheid zich niet druk over maken laat staan wat er met je gegevens gebeurd.
Het bedrijf zegt niet te weten hoe de gegevens zijn gestolen. Volgens RDC is er geen sprake van een hack
Wat een ontzettend gelul. Dat kun je toch niet stellen? Hoe kun je nou met je kop in het zand zoiets stellig beweren?
Er zijn twee mogelijkheden. 1. ze weten wél hoe de gegevens zijn gestolen, op een andere manier dan een hack, maar daardoor weet je niet of er daarnaast ook sprake is geweest van een hack; of 2. ze weten werkelijk niet waardoor de gegevens zijn gestolen, en daarmee is een hack net zo plausibel als ieder ander scenario.
Mogelijkheid 3 is dat er geen hack was en ze daar dus ook niet van weten, terwijl de gegevens op een andere manier verkregen zijn. Je kan namelijk ook niet zomaar stellen dat er hoe dan ook een relevante hack was. Er bestaat ook nog zoiets als gegevens verkrijgen uit diefstal van papier of datadragers.
Dat kun je toch niet stellen?
Klinkt inderdaad als BS, maar in theorie zijn er opties waarbij je dat wel kan zeggen.
Als je geen internet facing servers hebt, of nog beter, die gegevens op servers staan die niet aan een netwerk gekoppeld zijn.
Maar dat lijkt me erg onwaarschijnlijk. Dus 99% waarschijnlijk dat het de twee mogelijkheden zijn die jij noemt.
Ik heb bij RDC gewerkt. Afgaande op deze informatie, zijn de gegevens afkomstig van het klantencontactsysteem van RDC. Dit systeem koppelt met de administratie van de autodealer (maakt een kopie), zodat de autodealer makkelijk zijn klanten kan benaderen, en de klant een eigen klantenwebsite heeft waar NAW gegevens, autogegevens en meer te zien en aan te passen is.

Ik weet niet welke bedrijven momenteel klant zijn, maar destijds was het marktleider in Nederland en waren onder andere de allergrootste dealerbedrijven van Nederland klant. Via Google is genoeg te vinden over mooie succesverhalen en dergelijke (zie bijvoorbeeld https://www.bovemij.nl/co...lantcontact-met-care-mail), dus wellicht dat je op die manier kan achterhalen of je dealer het gebruikt en of je gegevens nu ook op straat liggen.
De meeste software pakketten bij autobedrijven hebben een koppeling met RDC. RDC is een dochteronderneming van de BOVAG. Een aanname dat alle BOVAG garages zijn aangesloten is dan ook aannemelijk.
Er zijn nog 2 concullega's op de markt (A2SP en VWE). De aanname dat alle BOVAG garages aangesloten zijn bij RDC is echt totaal uit de lucht gegrepen en klinkklare nonsens.
A2SP en VWE hebben alleen nog voertuiggegevens die zij vermarkten.
VWE is in 2010 uit de adressenhandel gestapt door deze database over te doen aan EDM en A2SP heeft vorig jaar al een bezoekje gehad van de Autoriteit persoonsgegegevens waardoor hun adressen leveranties abrupt gestopt zijn. De enige provider die nog persoonsgegevens koppelt aan voertuigeigenaren is EDM uit Nieuwegein. Hoe ze het doen is me een raadsel ....
35k voor een bestand van 7 miljoen autoeigenaren is een schijntje van wat je er mee kan verdienen!
De opbrengstwaarde van deze data ligt in de miljoenen.
Dat is niet zo lastig, het geheim van deze koppeling is te zorgen voor veel bronnen. Er zijn meer dan voldoende bronnen waar mensen klakkeloos hun hele doopceel invoeren.

Vanuit de RDW komt er al een bepaalde basis binnen (kenteken, autogegevens, postcode & geboortejaar eigenaar bijvoorbeeld). Dat wordt dan aangevuld met informatie van sites waar je kan berekenen wat de inruilwaarde is, software die bij de autobedrijven draait, sites die auto onderdelen verkopen (bekend is zoeken op kenteken bij diverse sites) en ga zo maar door. Aangezien veel bedrijven belang hebben bij de gegevens zijn ze ook geneigd om deze zelf aan te leveren als ze iets van informatie hebben.

De RDW Serviceproviders krijgen al jaren geen adressen meer zover ik weet, zo rond 2010 is dat al gestopt. Sinds die tijd worden er enkel nog algemene gegevens verspreid (kenteken, autogegevens, postcode & geboortejaar). Hoewel ik mij afvraag waarom ze dit moeten hebben aangezien de RDW Serviceproviders simpel gezegd de site van de RDW "inframen" in in hun software/online portal.
Je hebt gelijk dat ik zei dat een aanname dat alle BOVAG garages zijn aangesloten niet juist is.

Ik heb net even rondgekeken op de website van RDC. Als het gaat om het product INDI bij RDC dan gaat het om '800 dealervestigingen en 18 verschillende automerken het schonen en up-to-date houden van klantdata'.

Uitleg over INDI: https://www.youtube.com/watch?v=s-rBEKXici8

Maar RDC levert veel meer diensten dan alleen INDI dus ik ben benieuwd welke diensten dan getroffen zijn.
CaRe-Mail - Autobranche Klantencontactsysteem -
RDCwww.rdc.nl › producten › care-mail
Deze aanname is onjuist. Een dienst voor een BOVAG garage (bijv. APK afmelden) vereist geen koppeling met de administratie bij de dealer, dit verloopt via een gewone webbrowser. Omdat deze dienst gebruik maakt van de contactgegevens van de klanten, was hiervoor wel een koppeling met de administatie nodig.
Mijn gegevens zullen ook voorkomen in deze database aangezien mijn garage ook gebruik maakte van deze site.

Dit gaat nog een aardig staartje krijgen voor RDC aangezien er nu voor heel veel automobilisten het kenteken aan een adres te relateren is. Natuurlijk de natte droom van het dievengilde die aan het shoppen is voor bepaalde types auto's. Ze kunnen nu met minimaal onderzoek auto's al 'verkopen' om ze daarna daadwerkelijk te stelen. Ik ben dan ook nieuwsgierig of er een toename gaat zijn (of al is) in diefstallen van deze set auto's.

Sowieso verwacht ik zeer binnenkort wel een mail of belletje van de garage over dit datalek, want dit valt zeer zeker in de categorie 'hoog risico' voor betrokkenen. Zeker als deze set helemaal open op straat komt, want dan kan iedere gek die het niet eens is met je weggedrag (terecht of onterecht) je thuis komen opzoeken.
Ik heb op 18-1-2019 al gemelt bij mijn garage dat er een lek was, ook dat dit waarschijnlijk vanuit Care-mail kwam omdat ze dat gebruikte.

Web archive care-mail

Blijkbaar had ik het dus goed.

De eerste mail van care-mail heb ik gehad op 21-01-2015.
Tijd voor een minister van IT, die meer richting gaat geven aan minimale eisen waar onze software en ict diensten in Nederland aan moeten voldoen.
Die minimale eisen zijn er al en dat is dat er adequate beveiliging moet zijn. Laten we aub niet hopen dat er een IT minister komt die een harde specifieke eisen lijst gaat maken want dat gaat natuurlijk nooit werken met een langzame politiek en snel veranderende techniek.
Het gaat er om dat er een soort KEMA-KEUR komt voor digitale diensten en software. Ja technieken veranderen, maar daar gaat het dan ook om met een ministerie of een orgaan dat vol staat van IT mensen... die de laatste beveilingstrent's en risico's bijhouden. Die publieke lijsten beschikbaar maken waar software-ontwikkelaars altijd op kunnen terugvallen om te zien welke technieken bruikbaar zijn en of dit direct aan de norm voldoet die we nodig hebben vandaag de dag.
Maar dat is helemaal het probleem niet. Bedrijven die hier mee bezig zijn, zouden prima moeten weten waar ze die informatie kunnen vinden. In 99% van de gevallen zijn het geen super geavanceerde hacks maar gewoon hele slechte bugs of menselijke fouten. Daar gaat geen ministerie iets aan doen (behalve het Min v Justitie misschien).

Kortom, de eisen zijn al voldoende, de informatie prima vindbaar maar er wordt gewoon onvoldoende naar gekeken of gehandeld.
Er zijn heel veel oplossingen te vinden, en er is voldoende informatie. Maar 1 punt waar alles wat meer bij elkaar komt om sneller up to date te zijn met wat nu handig is om te gebruiken. Bij welke applicaties nu problemen mee bekend zijn, patches voor zijn.
Een Minister van IT moet wel verstand hebben van IT. Laten we nou net geen drol in de 2e kamer hebben die hier verstand van heeft :+

Maar verder heb je helemaal gelijk.

[Reactie gewijzigd door jordynegen11 op 25 maart 2021 07:54]

Een minister hoeft niet uit de Tweede Kamer te komen.
Ronald Prins ofzo. Zou hem wel passen.
Zet Rop Gonggrijp (iets minder commercieel) ook maar op 't lijstje kandidaten.
Het zal er op neerkomen dat je dan heel veel data niet meer kan verwerken. "En dat willen we niet".
Deze data kan waarschijnlijk benaderd worden door garages (voor mailings en zo), door garagemedewerkers (hebben we nodig), door systeem- en aplicatiebeheerders en vast nog meer.
Dat gaat een keertje fout.

De enige manier om lekken te voorkomen is om de data niet te hebben of in ieder geval niet op 1 plek te verzamelen.
Ik stel voor dat we Grapperhaus minister van digitale zaken maken, hij heeft nu al op regelmatige basis meetings met experts uit de IT wereld. Moeten we hem alleen nog zo ver krijgen om ook echt naar die mensen te luisteren! /s 8)7
en hem vooral laten propageren dat encryptie een achterdeur moet krijgen...
Hoe hete dat ook alweer? Dubbele encryptie toch? oeps foutje end-to-end. Kan gebeuren pik. Als minister hoef je dat toch niet te weten. 8)7

[Reactie gewijzigd door jordynegen11 op 25 maart 2021 09:20]

Edit: verkeerde reply.

[Reactie gewijzigd door rickertsnaak op 25 maart 2021 08:20]

Dat is precies de reden dat ik op Volt heb gestemd.
De partij Volt pleit voor een ministerie van Digitale Zaken. Dit is zo van deze tijd, ik vind dat ze daar gewoon een heel goed en modern punt hebben.
Ja maar als ze daar dan een minister neer zetten die er helemaal niks van af weet schiet je er niks mee op.
Voorbeeld Minister van defensie, heel goed idee om daar iemand neer te zetten die helemaal niks van het hele defensie apparaat af weet.
Ik vind 't eigenlijk oudbollig. Digitale Zaken is geen losstaand iets. Alle ministeries lopen achter de feiten van digitalisering (ook oudbollig woord eigenlijk, het is er al lang en breed) aan. Daar hoort dan ook de kennis te komen. Of het nou defensie, volksgezondheid, veiligheid, infrastructuur, landbouw of onderwijs is, het gaat denk ik niet goed werken als een apart ministerie voor Digitale Zaken dan al het werk van die ministeries moet gaan overzien en checken of het wel aansluit bij de digitale wereld.

Je kan dan beter elk ministerie verrijken met mensen met verstand van digitale zaken, dan het in een silo stoppen.
Het beleid maken zal niet het probleem zijn, maar men moet zich aan het beleid houden. In heel veel gevallen worden lekken niet veroorzaakt door een gebrek aan regelgeving, maar door het niet naleven van regels.
Als er 1 reden is om anoniem te willen zijn op het internet, is het voor mij wel misbruik/diefstal van je persoonlijke gegevens. Want wat er niet is, kan niet misbruikt/gestolen worden.
Als er 1 reden is om anoniem te willen zijn op het internet, is het voor mij wel misbruik/diefstal van je persoonlijke gegevens. Want wat er niet is, kan niet misbruikt/gestolen worden.
Als ik dit zo lees heeft dit dus niks te maken over het anoniem zijn op het internet. Deze gegevens komen van een bedrijf die de ict programma's levert aan garagebedrijven waar jij en ik gewoon onze gegevens moeten geven om bv een auto te kopen, onderhouden of te huren.

[Reactie gewijzigd door darkboy76 op 25 maart 2021 07:42]

Anoniem blijven kun je alleen doen door geen diensten of producten af te nemen via of van het internet. Complicerende factor hierbij is dat vanwege de COVID-19 lockdown vrijwel alles via het internet gaat en je de nodige gegevens moet achterlaten om een winkelbezoek te kunnen inplannen.

De overheid en met name de autoriteit Persoonsgegevens zou meer bevoegdheden moeten krijgen om af te dwingen dat persoonsgegevens beter beschermt worden als ook proactief bedrijven gaat helpen met beschermen van data.
Anoniem blijven kun je alleen doen door geen diensten of producten af te nemen via of van het internet.
Fixed that for you.

Gegevens die opgeslagen worden bij offline afname en aankopen worden net zo goed online opgeslagen, zoals je hier ziet.

Jij gaat naar de garage, en de garage houder neemt een online dienst af waar jou gegevens in verwerkt worden.
Dit is eigenlijk al vele, vele jaren zo.
Je wordt eigenlijk gedwongen om via internet te werken.
Denk aan sociale contacten, bankzaken, verzekeringsmaatschappijen, uitkeringen..
ik kan zefs geen afspraak maken bij m’n tandarts zonder online een afspraak te maken met invoer van m’n paspoortnummer.
Ik mag hopen dat de AP (of justitie?) dit nou eens hard aanpakt. Bedrijven die miljoenen persoonsgegevens verwerken moeten eens beseffen dat ze op een criminele goudmijn zitten en daar dus navenant beveiligingsmaatregelen tegen moeten treffen. Dit kan écht niet.
Dat soort bedrijven moeten helemaal niet de mogelijkheid krijgen zelf een oplossing te bedenken voor de opslag van gevoelige gegevens.
Hier zouden we de DigiD app prima voor kunnen gebruiken. Laat het maar een randomesque code genereren elke keer als je je ergens voor moet identificeren of een persoonsgegeven moet achterlaten. Soort Keepass, dat elk bedrijf of instantie zijn eigen code krijgt waar het jou mee kan identificeren. Dan blijven de persoonsgegevens bij de overheid en hoeven ze in het geval van diefstal, fraude of een belastingdienst die onderzoek komt doen, enkel die code te overhandigen. Zo kun je zelf ook zien welk bedrijf bij welke data kan, ook wanneer die data opgevraagd wordt. Zo krijgen we zelf de controle over onze persoonsgegevens.

Als er dan wat uitlekt, is het een random string waar niemand behalve het bedrijf of de instantie zelf iets mee kan. Heeft het bedrijf dan ergens je adres voor nodig, kan het je adres opvragen bij de overheid.
En kunnen we ook ergens zien wie er getroffen zijn?
Zat mij ook al af te vragen of bij dit soort gevallen de dataset ook aan haveibeenpwned gegeven wordt.
Volgens mij is haveibeenpwned geen bedrijf of stichting maar officieel particulier en staat de data ervan in Amerika op servers. Dat zorgt er al voor dat geen enkele instantie in Nederland deze data gaat / mag aanleveren aan die site, zowiezo omdat het dan ook weer een data-lek is.
Wat kan gebeuren is dat de site zelf de data achterhaalt, bijvoorbeeld als deze op een paste staat of wordt gezet en voor iedereen in te zien is.
En met data die te koop wordt aangeboden is dat laatste op een gegeven moment wel het geval.
Met de integriteit van Troy Hunt lijkt het wel goed te zitten.
Qua Nederlandse data, er staat minimaal één Nederlands bedrijf bij, Ticketcounter. Die data was 'gedoneerd' door een onbekend iemand.
Toch gek dat Troy Hunt kiest om die data in de US neer te zetten, daar weet je zeker dat de NSA toegang heeft, scheelt de NSA ook een hoop hack.
Als Troy de data zo kan downloaden, kan de NSA het ook wel.

Het hele idee van die site is dat, als jouw data erop staat, je er dan vanuit moet gaan dat jouw data publiek beschikbaar is. Heeft geen zin meer om die data af te schermen, daarvoor is het te laat.

Fantastische website trouwens, heeft me al meerdere keren gewezen op leaks voordat ik melding van de instantie zelf gekregen heb.
Haveibeenpwned stelt dat ze alleen emailadressen opslaan. De NSA heeft dus eventueel alleen toegang tot een lange lijst met emailadressen. Bovendien zijn de gegevens uit deze lekken meestal ook al op andere plekken beschikbaar.
https://haveibeenpwned.com/Passwords

Daar kun je toch echt je password checken
klopt, dat is een losse lijst met gelekte wachtwoorden, zonder emailadres eraan.
Als je een wachtwoord intypt, geeft die aan of het wachtwoord bekend is.
o.a. Apple gebruikt op de ipad dezelfde database om te checken of het wachtwoord wat je gebruikt bekend is (en die checked dus niet of de combi email+wachtwoord bekend is)

Haveibeenpwned kent dus 2 lijsten:
1. emailadressen
2. wachtwoorden

En van beiden krijg je alleen door of ze openbaar zijn gemaakt. Een combi kun je niet checken.

[Reactie gewijzigd door SunnieNL op 25 maart 2021 16:35]

Dat staat in het artikel, voor 35k kan je zien wie er getroffen zijn ;).

Ik ga ervan uit dat RDC de getroffen mensen informeert zoals de AVG eist.
Ik ben benieuwd hoe ze dat dan doen; misschien staan mijn gegevens er wel in onder een mailadres dat ik niet meer gebruik. De overige gegevens zouden nog wel actueel kunnen zijn.
Als ik naar het aantal kijk verwacht ik ook dat ik er in sta, terwijl mijn auto nooit naar de garage gaat
Ik doe zelf de onderhoud en een onafhankelijke APK, zonder afspraak.
Het verbaast mij altijd dat na dat ik een ander auto koop ik een brief van de lokale dealer krijg als de APK bijna verlopen is, terwijl ik mijn NAW gegevens nooit daar achtergelaten heb.
Bij de dealer zijn mijn N-gegevens sowieso wel bekend, en gekoppeld aan de auto, dus dan is de APK-datum ook bekend. Als de auto bij hen geregistreerd is, hebben ze denk ik (via gekoppelde bestanden met aan-/afmelden van APK bij het RDW ???) vermoedelijk ook de AW-gegevens. Maar best een interessante vraag, ja, ik zou niet weten of ik mijn adres ooit bij de dealer heb achtergelaten.
Mij laatste twee auto's, komen niet uit de buurt waar ik woon en ook niet bij een merk dealer gekocht
Dat ze zelf de link maken lijkt mij heel sterk.
Het adres staat wel op het kentekenbewijs dat ze nodig hebben voor afmelden bij de APK, in ieder geval in het verleden, of dat nog zo is weet ik niet. De garage zou dit zomaar overgenomen kunnen hebben. Ongevraagd....

[Reactie gewijzigd door ShopHB op 25 maart 2021 13:43]

Ik ga nooit naar de garage voor een APK,
Ik bren mij auto's naar een onafhankelijk APK keuringsbedrijf dat
alleen de keuring doet, geen reparaties. Nooit discussie punten
Afkeur is voor hun ook niet goed, want dan doen ze een gratis herkeuring na dat de punten gerepareerd zijn. Een lampje vervangen doen ze nog , maar meer niet.

Voor mij maakt het niet uit om hem daar naar toe te brengen omdat ik het onthoud zelf doe. Maar ik snap niet dat niet veel meer mensen dit doen. Het is ook gewoon een soort van second opinion/check als je auto gerepareerd is.
Ik heb vaker mijn auto naar een APK station gebracht. Maar APK is vaak gratis bij een grote beurt, dus ik snap dat wel.
Nee, RDC gaat hun klanten op de hoogte brengen (de dealers etc. ) en die moeten dan weer een mail / brief sturen naar de eigenaar van de auto.

RDC mag waarschijnlijk niet direct contact opnemen met de klanten van hun klanten. Dit hangt natuurlijk af van alle end-user-license-agreements, maar vrijwel altijd is het zo dat dit soort diensten nooit namens zichzelf communiceren met individuen.
Hoeft ook niet, onderdeel van de service is dat criminelen jou contacteren. Wel goed opletten op phising mails, maar dat is altijd al de regel.
Tis toch van de zotte dat dit nu nog gebeurt? Dit is niet de eerste keer.
Is er dan niks geleerd van het verleden? Ik hoop echt niet dat er bsn en Id kaart nummers gelekt zijn..

Hoe kan het dat dit bedrijf haar zaken niet op orde heeft, ze zeggen niet gehackt te zijn maar toch is die data in andere handen terecht gekomen?

Misschien minder mensen toegang geven die bij alle data kunnen komen? Of zie ik dat te makkelijk.

[Reactie gewijzigd door dutchnltweaker op 25 maart 2021 07:36]

Waarom zou een garage die onderhoud en APK verzorgt BSN of id kaart nummers registreren?
NAW en kenteken hebben ze genoeg aan en dat weten de meeste garagehouders ook.
Waarom zou een garage die onderhoud en APK verzorgt BSN of id kaart nummers registreren?
NAW en kenteken hebben ze genoeg aan en dat weten de meeste garagehouders ook.
Bij een proefrit wordt er een kopie van je ID bijvoorbeeld gemaakt.
En dat is dus iets dat wettelijk gezien helemaal niet mag.
Zie ook dit artikel van de AP.
Een organisatie mag uitsluitend een volledige kopie of scan, dat wil zeggen waarbij alle persoonsgegevens zichtbaar zijn, van iemands identiteitsbewijs maken als de organisatie daartoe wettelijk verplicht is.
Dit geldt ook voor het scannen van het identiteitsbewijs waarbij een organisatie persoonsgegevens van iemands identiteitsbewijs ‘inleest’. Een organisatie mag dit alleen doen als zij daartoe wettelijk verplicht is.
Slightly off-topic: Als ik een pakketje ophaal bij het post-nl punt bij de supermarkt, wordt mijn ID gescand/ingelezen. Weet iemand hier meer van? Is dit een wettelijke verplichting? En wordt de hele ID opgeslagen, of alleen een deel ervan?
Die slaan de gegevens uit de chip op, of bij iets oudere versie, lezen de barcode.
Daar staat geen BSN in, maar het rijbewijsnummer die wordt opgeslagen.
Dat is minder 'gevaarlijk' dan je BSN
Dank! Ze hebben je opgegeven naam al, en een rijbewijsnummer waarmee de politie eventueel zou kunnen achterhalen wie bij fraude het pakketje heeft opgehaald, maar verder lijkt me dat niet een heel gevoelig gegeven.
Nee, dat wordt niet bij een proefrit gedaan. Elke garage waar je dat wel moet, daar draai ik per direct om. Zo mogen mijn rijbewijs even zien en dat is het. Ook al eens gehad dat ze wilden dat ik het rijbewijs achter liet, maar ook dat gebeurd ook niet, want dan kan ik mij niet legitimeren als ik mogelijk wordt aangehouden.
Nee, dat wordt niet bij een proefrit gedaan. Elke garage waar je dat wel moet, daar draai ik per direct om. Zo mogen mijn rijbewijs even zien en dat is het. Ook al eens gehad dat ze wilden dat ik het rijbewijs achter liet, maar ook dat gebeurd ook niet, want dan kan ik mij niet legitimeren als ik mogelijk wordt aangehouden.
Je bent dan ook in overtreding, want je moet je rijbewijs bij je hebben als je een auto bestuurt...
Geleerd van het verleden? Half Nederland draait op oude brakke lekke maatwerk software, gebouwd door een paar matige programmeurs op een industrieterrein voor een ict-leverancier waarbij de directie slapend geld verdient.

Ah -1, verrassend. Ik ben zelf overigens programmeur en het is meer regel dan uitzondering. Nederland is een te klein land, vaak geen concurrentie, programmeurs die een systeem hebben gebouwd maar al jaren weg zijn(directie verdient er nog aan, juniors nemen het devwerk over), focus op uitbouwen en features ipv stabiliteit en een gezonde codebase, haastwerk en daar nooit meer refactoren, developers die al jaren hetzelfde doen en niet meer bij de tijd zijn, security dat wordt genegeerd omdat het geen feature is die geld oplevert etc etc.

Iedereen die verbaasd is dat dit gebeurt heeft totaal geen idee van hoe het er in de praktijk aan toe gaat.

[Reactie gewijzigd door BarôZZa op 25 maart 2021 08:21]

Projectje. Demo database met niet geanonimiseerde gegevens. Verloren laptop of usb stick. Zie je het al voor je?

Er is geen hack geweest in dergelijk scenario.

[Reactie gewijzigd door Yalopa op 25 maart 2021 07:39]

"Tis toch van de zotte dat dit nu nog gebeurt? Dit is niet de eerste keer. Is er dan niks geleerd van het verleden?"

Mensen leren nicht van het verleden. En IT mensen mét skills zijn nauwelijks te vinden. De meeste doen "next next finish" en dat was het dan. Of na de installatie kijken ze er nooit meer naar.

Om precies die reden registreer ik me bij bedrijven bijna nooit en in Webshops gebruik ik de "kopen als gast" functie om vooral geen account hoeven aan te maken. Shops met verplichte registratie vermijd ik. Ik weet precies waar ik überhaupt accounts heb zodat ik weet waar "ik" digitaal rondhang...
Dit betreft het zoveelste IT bedrijf wat zijn zaken niet op orde heeft. Velen verkopen liever security, maar daar zelf aan doen is dan weer te duur 🤭
Als je als gast koopt moet je toch nog steeds een adres opgeven? En waarschijnlijk ook een emailadres? Dat leggen ze dan toch net zo goed vast?
Bij de meeste webshops (ga ik van uit) ist "kopen als gast" een vluchtig process. Als je via PayPal Checkout koopt krijgt de webshop van PayPal je naam, email en adresgegevens en sta je intern in een ERP system natuurlijk vaak wel geregistreerd. Maar op de webserver en zijn DB back-end hopelijk niet. Er is een verschil tussen een Account hebben en een "transactie die geregistreerd is".
Er zullen ook webshops zijn waar het geen flaus aus maakt en er effectief geen verschil is tussen een account of alleen een transactie.

Grootste voordeel van geen account ergens hebben is dat je geen/minder spam van die firma krijgt omdat je niet in de DB van de marketing afdeling staat.
En soms gebeurt ook dat ondanks alles.

Misschien is het een vals gevoel van "geen sporen achterlaten". Ik slaap er beter door :-)
Het probleem is dat een datalek bijna niet te voorkomen is. Er zijn altijd mensen die bij de gegevens kunnen, invoer en uitvoer die leesbaar is etc. Het enige wat je kan doen is de kans op een lek proberen te verkleinen en de gevolgen te beperken. Maar als de gegevens dan ook nog gewoon gebruikt worden op accounts die meer kunnen dan alleen de nodige gegevens verwerken dan heb je daar al een groot risico. Helaas is dat wel hoe veel besturingssysteemen en accounts wereldwijd gebruikt worden, want makkelijker en goedkoper dan veel beperkingen en controles om te kunnen handelen. Het kost al veel moeite om duidelijk te maken dat met rechten verantwoordelijkheid komt.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True