Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren

Onbekenden hebben toegang gekregen tot een database van Qualifio, een bedrijf dat online formulieren aan sites levert. Hierdoor zijn persoonsgegevens van zeker 5100 Bnnvara- en VPRO-leden en -abonnees uitgelekt. Van een deel zijn ook bankrekeningnummers uitgelekt.

Bnnvara schrijft in een mail naar slachtoffers dat de omroep Qualifio gebruikte voor online formulieren waar abonnees, potentiële abonnees of leden hun persoonsgegevens kunnen invullen. Tweakers heeft deze mail ingezien. De omroep gebruikt deze gegevens om de VARAgids te kunnen opsturen en voor de administratie van abonnementsgelden.

Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd. Het gaat om naam- en adresgegevens, geboortedata en bankrekeningnummers. Deze gegevens zijn door 'onbevoegden' buitgemaakt, schrijft de omroep. Het lek zou inmiddels gedicht zijn.

Bnnvara zegt tegen Tweakers dat er informatie is uitgelekt van 1300 leden en abonnees. De omroep heeft in totaal ruim vierhonderdduizend leden. De omroep benadrukt dat Bnnvara niet de enige organisatie is die getroffen is en dat het lek inmiddels bij de Autoriteit Persoonsgegevens is gemeld.

De toegang vanuit Qualifio naar Bnnvara-systemen is tevens geblokkeerd en van nieuwe authenticatie voorzien. De omroep zegt ook de procedures en maatregelen rondom de beveiliging te evalueren. Het incident is tot slot gemeld bij de Belgische politie en het Belgische centrum voor cybersecurity, aangezien Qualifio gevestigd is in België. Bnnvara werd op woensdag 9 juni voor het eerst ingelicht over het incident.

Mogelijk zijn er ook gegevens van andere bedrijven gelekt, aangezien Qualifio veel klanten heeft. Tweakers heeft vragen bij Qualifio gesteld over het datalek. Op de website van het bedrijf staan bedrijven als Mailchimp, Adobe, Salesforce, Nestlé, MediaMarkt en L'Oréal vermeld. Het is niet duidelijk of deze bedrijven daadwerkelijk slachtoffer zijn van het datalek. Bnnvara zegt tegen Tweakers van Qualifio te hebben gehoord dat het bedrijf 'honderden klanten' heeft, waarvan 'een aanzienlijk deel' is getroffen.

Ook omroep VPRO is betrokken bij het incident, bevestigt de omroep bij Tweakers. Het gaat hierbij om mensen die via een online formulier van Qualifio zichzelf hebben aangemeld voor acties en evenementen. Hier zijn persoonsgegevens van 3800 mensen uitgelekt, waarbij naam, e-mailadres en relatienummer zijn buitgemaakt. Van een deel is ook het geslacht uitgelekt. De VPRO benadrukt dat er geen bankgegevens of wachtwoorden zijn uitgelekt en zegt dat het incident is gemeld bij de AP.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

15-06-2021 • 12:30

74 Linkedin

Submitter: heehoo

Reacties (74)

Wijzig sortering
Qualifio is van origine een Belgisch bedrijf en heeft daardoor best een grote klantenkring in België. Zoals Kinépolis (ook in Nederland actief), Carrefour, De Standaard en RTBF. Ook in Nederland zijn er best wat grote bedrijven die Qualifio inzetten voor hun marketingactiviteiten. Zoals URW (eigenaar van grote winkelcentra zoals Stadshart Amstelveen en Mall of the Netherlands), Pathé en Decathlon. Ik weet niet of het lek ook deze bedrijven heeft getroffen. Maar dit zou best wel eens heel omvangrijk kunnen zijn.

Waarschijnlijk weten heel veel mensen niet eens dat ze ooit hun gegevens hebben achtergelaten bij Qualifio tijdens een marketingactie van een van deze bedrijven.

[Reactie gewijzigd door SanderSans op 15 juni 2021 12:56]

Hln.be (van DPG Media waaronder tweakers.net ook valt) gebruikt het ook: Op hun blog staat dat ze in november nog een campagne hadden lopen met hln.be: https://qualifio.com/blog...eting-campaigns-november/ . Ik ben benieuwd of het nieuwsbericht ook op hun website gaat verschijnen. Voorlopig niet.
Waarschijnlijk weten heel veel mensen niet eens dat ze ooit hun gegevens hebben achtergelaten bij Qualifio tijdens een marketingactie van een van deze bedrijven.
Klopt helemaal. Die componenten kon ze embedden dat het leek of je deelnam via een actie op bijvoorbeeld hln.be. In principe moeten die mensen toch allemaal verwittigd worden?
Daarom ben ik er geen fan van als men hun online formuliertjes bij andere partijen stalt, zoals Tweakers dus bv ook elke keer doet. Altijd fijn dat men (willens en wetens) er voor kiest dat mijn privé gegevens bij zo veel mogelijk partijen komt te liggen.

Maar mijn werk kan er ook wat van, leuk een vragenlijst, waarom moet dat bijna altijd via derden? Zo moeilijk is het toch niet om zelf een formulier te bouwen en aan een database te hangen.

Privacy en minder risico op datalekken is ook wat waard.
Zelf bouwen levert ook risico's op. In veel gevallen mis je de kennis, ervaring en aandacht om het te bouwen maar ook bij te houden.

Zelf een formulier bouwen en een database aan hangen lijkt simpel. Maar hoe bewijs je dat het goed werkt, en er geen fouten inzitten? Hoe bewijs je dat de server goed geconfigureerd is, altijd geupdated wordt? Hoe bewijs je dat er geen bugs in de code zitten, die exploits mogelijk maken?
Hoe bewijs je dat Qualifio goed werkt? Blijkbaar zitten daar ook beveiligingsproblemen in, ondanks dat het niet "zelf gebouwd" is en het hun "enige" taak is om forms te verwerken. Dan heb ik toch liever een formpje die je verwerkt via je eigen webserver, daar heb je dan in ieder geval nog zicht/grip op.

[Reactie gewijzigd door McBacon op 15 juni 2021 15:03]

Die vraag je op bij ze, via bijvoorbeeld https://qualifio.com/blog...841-1636223225.1623765841

En die eigen webserver... Wie gaat die patchen? Wie houdt de software up to date? Wie heeft de code van het formuliertje bekeken, of er geen SQL Injection attacks inzitten? Neem bijvoorbeeld WordPress. Veelal worden die lokaal geinstalleerd, maar vergeten te updaten. Of recentelijk Exchange, waarbij lokale installaties de dupe waren. De cloud versies hadden hierbij geen last van de problemen.

Je probeert zo veel mogelijk te doen om de kans dat iets mis gaat te verkleinen. Helemaal uitsluiten gaat helaas niet.
En die eigen webserver... Wie gaat die patchen? Wie houdt de software up to date? Wie heeft de code van het formuliertje bekeken, of er geen SQL Injection attacks inzitten?
Als je zelf een website maakt dan hoop ik dat je ook mensen in je team hebt voor het onderhoud en security dingetjes. Het is geen rocket science ofzo.
We begonnen met een klein formuliertje en een database, en ondertussen moet ik een geheel team gereed hebben zitten met kennis om te bouwen, onderhouden, op de hoogte zijn van patches...... Terwijl ze aan iets werken wat niet je core business is, maar wel aan hoge kwaliteitseisen moet voldoen. En niet alleen developers, maar ook serverbeheerders.

Lijkt me veel eenvoudiger, goedkoper, sneller en van betere kwaliteit dan om het uit te besteden aan een externe partij, die hier zijn core-business van heeft gemaakt.
Lijkt me veel eenvoudiger, goedkoper, sneller en van betere kwaliteit
Maar is het veiliger? Daar ging het mij om, niet of het goedkoper of makkelijker is. Blijkbaar dus niet, en nu is er (waarschijnlijk) data gelekt van meerdere bedrijven.
Weer aan de andere kant: als kleine partijen hun eigen formulieren bijhouden, dan is de omvang van een lek nog altijd beperkt. Nu ligt de data van een heleboel klanten van een heleboel partijen in één klap op straat.

Compartmentalisering is ook iets waard.

Ik citeer als het om data gaat altijd de Jeugd van Tegenwoordig: hou het klein, hou het dicht bij jezelf.
Kijk in die gevallen eens naar wordpress. Veelal decentraal geregeld (lokale installaties), maar niet voldoende gepatched. Een worm en alles ligt ook plat. Het is een illusie om dezelfde tool, met verschillende codebases volgens hoge standaarden te hebben ontwikkeld, terwijl het bovendien veelal niet je core-product is.
Waar, maar het eigenlijke probleem is natuurlijk dat qualifio blijkbaar hun hele (of althans een groot deel van) database online had laten staan... Onderdeel van professioneel is natuurlijk dat je het risico zo veel mogelijk verkleint en dus zo snel mogelijk data migreert naar een veilige omgeving of liefst gewoon verwijdert.

(En ja ik weet dat er altijd types in een organisaties zijn die zeggen 'laat maar staan je weet nooit wanneer we het nodig mochten hebben': die zijn dus mogelijk ook (mede)verantwoordelijk voor dit debacle (maar ook de security officer die dit liet gebeuren).
Je hebt procedures, waarborgen, processen, beperkingen op rechten, etc.

Aan de andere kant heb je uitzonderingen, situaties waar de procedures niet in voorzien, verkeerd geïmplementeerde (automatische) processen en het negeren van voorschriften.

Dit laatste kan het geval zijn, waardoor je wel heel veel hebt kunnen voorkomen, maar blijkbaar er toch iets doorheen is geglipt. 99 van de 100 problemen heb je wellicht zo voorkomen. Dat ene issue levert je echter gigantisch veel problemen en gezeur op.
Je hebt procedures, waarborgen, processen, beperkingen op rechten, etc.
Inderdaad: en onderdeel daarvan hoort te zijn dat je het risico zo veel mogelijk beperkt, en gevoelige data niet nodeloos aan een aan het open internet verbonden server laat staan. Doorkiepen naar een veilige server buiten DMZ en goed beveiligd. Niet slordig doen, niet denken 'dat komt wel een keer' want zoals ook hier die ene keer ga je fors nat.
Ben het met de theorie helemaal eens, maar in de praktijk is dat niet makkelijk uit te voeren.

Wanneer de campagne voor het formulier is afgerond wil het bedrijf zelf nog via hun beheerpagina nog bij de data kunnen en daar analyses op uitvoeren. Daarbij willen ze ook nog kunnen vergelijken met gegevens van voorgaande jaren. Hopelijk geanonimiseerd in de tussentijd, maar nog steeds voor een gedeelte beschikbaar. En dan het liefst met steeds nieuwe tools die worden ontwikkeld.

Dat is wat de klanten willen en als het niet bij jou kan en bij de concurrent wel, dan raak je gewoon al je klanten kwijt.

Hoe zorg je ervoor dat ze wel bij hun gegevens kunnen, maar wel veilig staat?
Moet je dan met ze afspreken dat ze eerst moeten bellen, zodat iemand het handmatig beschikbaar gaat stellen? Dat iemand een half uur bezig is, omdat ze even 5 minuten iets wilde controleren.

Moeten ze de data downloaden en vervolgens met Excel gaan werken om aan hun analysis te komen?

Moet je hun de data laten downloaden en in een speciaal programma laten inladen? Waardoor je software moet gaan ondersteunen in ongecontroleerde omgevingen. Dat als de klant zijn laptop kwijt raakt in de trein, alle gegevens op straat liggen.

Hoe zou jij het maken en nog steeds kunnen concurreren. Want formulieren maken zal veel concurrenten hebben.
Wanneer de campagne voor het formulier is afgerond wil het bedrijf zelf nog via hun beheerpagina nog bij de data kunnen en daar analyses op uitvoeren. Daarbij willen ze ook nog kunnen vergelijken met gegevens van voorgaande jaren. Hopelijk geanonimiseerd in de tussentijd, maar nog steeds voor een gedeelte beschikbaar. En dan het liefst met steeds nieuwe tools die worden ontwikkeld
.
Sorry, maar nee: Je bent direct in overtreding van de AVG, dus als je professioneel bent doe je dat dus niet.
Dat is wat de klanten willen en als het niet bij jou kan en bij de concurrent wel, dan raak je gewoon al je klanten kwijt.
Ja, zoals nu: nu heb niet alleen jij reputatieschade maar je klanten óók: Ik verwacht en hoop dat deze club nu direct haar faillissement kan gaan aanvragen, want ik ga niet allen nooit meer bij hen dingen invullen maar ook niet bij BNN/VARA en de VPRO: Lekker toch?

Alle ander punten die je aandraagt: daar zijn beter oplossingen voor dan zomaar data laten slingeren.
Ik snap wat je bedoeld, maar op je eigen werk is het juist een voordeel.

Als alles in-house verwerkt en opgeslagen wordt, kan dat sturend werken op de antwoorden van bijvoorbeeld een enquete over de tevredenheid van de werknemers. Bij mijn werkgever wordt er daarom altijd gebruik gemaakt van een derde partij hiervoor, die garandeerd dat de resultaten geanonimiseerd worden. Dan heb je als ewrknemer dus ook echt vrijheid om te antwoorden wat je vind zonder angst dat je er persoonlijk op aangesproken kan worden.

En bij zo'n enquete hoeft ook geen privacy-gevoelige info gedeeld te worden natuurlijk, alleen je zakelijke mailadres hebben ze nodig, meer niet.

[Reactie gewijzigd door Kroesss op 15 juni 2021 13:21]

Maar mijn werk kan er ook wat van, leuk een vragenlijst, waarom moet dat bijna altijd via derden? Zo moeilijk is het toch niet om zelf een formulier te bouwen en aan een database te hangen.

Privacy en minder risico op datalekken is ook wat waard.
Het voordeel van uitbesteden is dat de partij waar je mee in zee gaat ervaring heeft met het werk en zijn ICT-zaakjes centraal en goed kan regelen. Als (kleine) bedrijven het zelf gaan doen zullen er vermoedelijk meer fouten worden gemaakt.

Het nadeel van uitbesteden is dat de partij waar je mee in zee gaat in één keer heel veel gegevens kan lekken. En dat ze blijkbaar hun ICT-zaakjes toch niet zo goed geregeld hebben. :'(
Maar mijn werk kan er ook wat van, leuk een vragenlijst, waarom moet dat bijna altijd via derden? Zo moeilijk is het toch niet om zelf een formulier te bouwen en aan een database te hangen.
Denk je dat BNNVARA zelf zoiets in elkaar had kunnen zetten op een veilige manier? Juist dit soort denken werkt beunhazerij in de hand waar brakke en slecht beveiligde toepassingen uit voort vloeien met de kans dat het mis gaat. Tenzij het je vakgebied is kun je sommige dingen beter uitbesteden aan derden die weten waar ze mee bezig zijn. Dat wil niet zeggen dat je altijd honderd procent veilig is maar zelf wat aanklooien helpt ook niet. Bijkomstig voordeel is dat je niet al je data centraal op één plek hebt staan wat tegen je kan werken in het geval van een datalek.
Waarom altijd links of rechts? BNN heeft toch ook gewoon een eigen website?

Er zijn 3 opties:
Zelf (zelf schrijven, zelf hosten)
Laten doen (maar in eigen beheer onderhouden)
third party (alles 'in de cloud' bij een ander)

Laten doen zijn gewoon (hopelijk) dezelfde niveau mensen als bij third party, enige verschil is waar je het neer zetten en waar je dus ook deel van je risico neerlegt. Hoe perfect je je eigen zut op orde zou kunnen hebben, je hebt dat risico van een third party dus simpelweg niet in de hand.
Denk je dat BNNVARA zelf zoiets in elkaar had kunnen zetten op een veilige manier?
Niemand zegt dat ze het zelf moeten doen. Maar er zitten heel veel andere opties tussen "zelf doen" en "De data staat bij een hele kleine andere partij".
Om nu Qualifio als hele kleine partij te kwalificeren.. 70 mensen in dienst, scale up, nomitaties voor EY scale up, Deloitte Fast 50... Paar grotere investeerders aan boord.
Omdat focussen op kernactiviteiten een outsourcen van de rest in is.
werk je bij ericsson? die kunnen er ook wat van
Maar mijn werk kan er ook wat van, leuk een vragenlijst, waarom moet dat bijna altijd via derden? Zo moeilijk is het toch niet om zelf een formulier te bouwen en aan een database te hangen.
Qualifio biedt meer geavanceerde en interactievere componenten aan dan een eenvoudig formulier dat bestaat uit wat invulvelden. Hier een overzicht van de verschillende types: https://qualifio.com/product/campaign-formats/ . Om zo'n dingen te bouwen (inclusief uitgebreide tracking mogelijkheden) ben je wel even bezig. Vaak wordt slechts voor een korte tijd gebruikt voor bepaalde campagnes. Dus qua kostprijs is het helemaal niet interessant om het zelf te ontwikkelen.
Ik lees hier tegenwoordig meer over datalekken dan over technieuws lijkt het wel :+
Dat idee heb ik ook. Op zich wel fijn, want van de VPRO heb ik nog niets vernomen. En een bedrijf als AlleKabels was ook gewoon een kut bedrijf. Het is dan wel fijn op Tweakers eea te kunnen lezen.
Zou een mooi Tweakers artikel kunnen zijn om verschillende password management oplossingen te vergelijken. Zelf gebruik ik nu vaak een gegeneerd reeks tekens voor zowel gebruikersnaam als wachtwoord, zeker op websites die niet echt een sociaal aspect hebben.
Tweakers was je voor. Artikel van februari dit jaar.

reviews: Wachtwoordmanagers met eigen wachtwoordencheckers
Ah! Dankjewel, niet gezien of vergeten.
Totdat je password manager een datalek, een achterdeurtje of iets naars heeft waardoor ze aan je wachtwoorden kunnen :+
Dat is waarom ik een lokaal tooltje (Keepass) gebruik in plaats van zo'n website. Dat werkt iets minder handig (password file op verschillende devices synchroniseren), maar dan ben ik niet afhankelijk van de beveiliging van een online dienst.
Is natuurlijk niet risicovrij (moet natuurlijk geen achterdeur de tool in gesneakt worden), maar het geeft mij een veiliger gevoel.
Wachtwoordmanagers hebben je wachtwoord niet op servers staan hoor.

Maw als ze je wachtwoorden uit 1Pass, LastPass of alternatieven kunnen halen, dan kunnen ze dat evengoed met KeePass.

Het is best interessant leesvoer hoe zo'n wachtwoordmanager wachtwoorden synced tussen meerdere apparaten zonder dat ze het wachtwoord zelf kennen.
Klinkt als interessant leesvoer.. heb je een linkje?
Hoezo syncen? De wachtwoorden worden toch simpelweg versleuteld opgeslagen in de cloud en worden alleen ontsleuteld als je op je device het master password ingeeft dat alleen jij weet en de cloud aanbieder niet?
Heb jij gecontroleerd of jouw 'offline' tooltje niet stiekem connectie met het internet maakt?

Niet lullig bedoeld, maar alle 'offline' tools zijn niet altijd offline!
Van Keepass is dat vrij eenvoudig na te gaan, dat programma is volledig open source, dus je kunt nagaan wat elk stukje code doet. Als Keepass stiekem verbinding met internet maakt, heeft de community dit inmiddels wel opgemerkt.

Bij de andere tools is dit lastiger na te gaan, maar met iets als pihole of wellicht zelfs je router logs is dat ook zo na te gaan.
Als je de (voor-)gecompileerde versie zou dat het nog kunnen bevatten.

En iemand moet dit nakijken. Ik kan dit niet dus geloof hun op de blauwe ogen.
Je kan een wachtwoord hebben van 128 karakters lang.. Als er zo'n datalek is dan liggen nog je gegevens op straat. Het is niet dat je inlog op straat ligt hier (juist niet) maar je naam- en adresgegevens, geboortedata en bankrekeningnummers.

Die weer voor phishing gebruikt kunnen worden.
Dat is maar een deel, andere gegevens kunnen ook lekken.

Overigens was ik bij de WWDC van Apple aan het kijken, die komen nu met een private/public sleutel achtste oplossing gebaseerd op …. PassKey heet het en maakt wachtwoorden overbodig.
Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was.
Ik zie niet hoe password management in deze context relevant is? (afgezien dat er zoals hieronder ook vermeld al een dergelijk artikel van eerder dit jaar is)
Is ook geen sneer naar Tweakers, maar gewoon een verbazing over het feit dat het zo vaak en al zo lang (lang is relatief) gebeurt.
Dit gebeurde voor de AVG ook aan de lopende band, er ligt tegenwoordig gewoon meer focus op.

Zo herinner ik me de introductie van Google nog, oh wat hadden we een lol door met bepaalde zoekopdrachten complete bedrijfsnetwerken te kunnen "hacken". Of gewoon iets simpels als webcams bij mensen thuis.

Zelf vermoed ik eigenlijk dat het vandaag de dag verhoudingsgewijs juist veel minder voorkomt, maar er zijn zo ontiegelijk veel meer mensen en organisaties actief op het internet dat het in absolute getallen wel hoger is. Je hebt nu best wel wat kennis, ervaring en/of de juiste contacten nodig om organisaties te hacken terwijl je vroeger praktisch overal digitaal naar binnen kon wandelen.
Routers die standaard met de login/ww combo admin/(leeg) of admin/admin werden geleverd... Hoe veel privé- en zakelijke netwerken zou op ingebroken zijn in al die tijd zonder dat men het door had?
Maar de vraag is wel, gebeurt het meer of wordt het gewoon meer gemeld? Ik denk namelijk dat als je naar 10 jaar terug keek er misschien iets minder datalekken waren, maar er vooral veel minder werden gemeld omdat er verder niet echt controle op was. Behalve als er echt actief misbruik van werd gemaakt, dan kwam het aan het licht, maar anders was het toch wel een beetje 'wat niet weet wat niet deert'.

Onderzoeken hebben natuurlijk wel uitgewezen dat er meer datalekken zijn, dus dat ontken ik niet. Maar die reporting bias moeten we wel rekening mee houden, anders lijkt het inderdaad alsof het vertienvoudigd is wat simpelweg niet zo is :)
Dat is een goed punt :)

We zijn nu natuurlijk stukken meer verbonden met het internet en de informatie die we daarmee achterlaten is ook een stuk waardevoller, dan in de jaren 90, bijvoorbeeld. Dus het zal een combi van de twee zijn?
Het is lastig om er een vinger op te leggen maar 10-15 jaar waren er grote lijsten met creditcard gegevens in de omloop waar zelfs een leek zoals mezelf makkelijk aan kwam. Het is niet verwonderlijk gezien de steeds grotere hoeveelheis internet gebruikers we ook meer data zien, tegelijkertijd heb ik het idee dat steeds meer bedrijven honger hebben naar persoonlijke data. Voeg daarbij steeds meer hacks en het is niet geheel verwonderlijk dat er zoveel data in de omloop is.

Ik vraag me echter af wanneer ik als burger afstand kan nemen van misbruik van mijn eigen data wanneer dit zo veel voorkomend is. Chrome geeft al regelmatig aan dat ik vaker het haasje ben.
Wat is "een aantal dagen"?
Meestal testen bedrijven eerst hun updates/upgrades voordat ze deze uitrollen naar een live omgeving |:(
Die testen zijn vooral om te kijken of de functionaliteit goed blijft voor het bedrijf, en geen veiligheidscontrole.
Vaak wel, maar als je dan leest dat de database een aantal dagen openbaar toegankelijk was na een update.. Hebben ze toch flink wat over het hoofd gezien qua security lijkt mij.
Volgens mij is dit niet de eerste keer.
Weet niet hoe lang de vpro al samenwerkt met dit bedrijf, maar kreeg jaren geleden al spam op het e-mailadres dat ik voor hun had gemaakt.
Ik vind het niet netjes vanuit Bnnvara dat ze getallen roepen en uitspraken doen over het ek van een andere partij.
Als de andere partij (Qualifio) het niet doet dan een ander maar hé het geen wat de VPRO / BNN zegt had Qualifio zelf ook in een bericht kunnen melden via hun pers woordvoerder(s)

En daarnaast moet je als bedrijf je klanten informeren. Zie dit bericht nieuws: AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand inf... de AP valt je gewoon (lastig) als je geen informatie stuurt. Vanuit BNN vindt ik het juist goed dat ze gelijk handelen. Op de website van Qualifio kan ik nog helemaal niks vinden over dit probleem van ze en lijkt momenteel de struisvogel modes te hebben geactiveerd.

[Reactie gewijzigd door HKLM_ op 15 juni 2021 13:02]

Best kans dat Qualifio de getroffenen niet eens mag informeren. Bijvoorbeeld een clausule uit een verwerkersovereenkomst:
Verwerker mag geen melding van een Datalek aan de Toezichthouder doen, wanneer
bij het Datalek Persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn.
Ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Deze
verantwoordelijkheid ligt bij Verwerkingsverantwoordelijke.
Dus struisvogelmodus is wellicht niet terecht om te zeggen; de verantwoordelijkheid (of verplichting) om te informeren en melding te maken ligt bij partijen als BNNVara
Dan ga je er vanuit dat Qualifio alleen Verwerker zou zijn maar ze zijn zeer waarschijnlijk zelf ook Verwerkingsverantwoordelijke.
Dan ga je er vanuit dat Qualifio alleen Verwerker zou zijn maar ze zijn zeer waarschijnlijk zelf ook Verwerkingsverantwoordelijke.
Ze verwerken alleen in opdracht van en zijn daardoor altijd alleen verwerker. De opdrachtgever is en blijft verantwoordelijke.
Dat weet je alleen zeker als zij de gegevens volgens hun voorwaarden niet voor eigen doeleinden gebruiken. Bijvoorbeeld analyse of marketingonderzoek in eigen beheer. Volgens hun eigen Privacy Policy zijn zij beiden, zie artikel 2.2 hierin:

2.2.1. When we act as Controller, we strive to limit the amount of personal data we collect and store to only that which is reasonably necessary to provide you with the relevant services.

Daaronder de lijst met gegevens die zij zelf verwerken.

[Reactie gewijzigd door Ootje70 op 15 juni 2021 14:34]

Dat weet je alleen zeker als zij de gegevens volgens hun voorwaarden niet voor eigen doeleinden gebruiken. Bijvoorbeeld analyse of marketingonderzoek in eigen beheer. Ik ken hun voorwaarden niet maar het is zonder die te kennen niet uit te sluiten dat ze ook Verwerkingsverantwoordelijke zijn.
Daar heb je zonder meer gelijk in. Goed punt.
Net aanvulling uit hun voorwaarden gedaan in een *edit.
Ik vind het bizar dat dit in een verwerkersovereenkomst mag staan. Er is een meldplicht voor datalekken en hiermee proberen ze eronder uit te komen dat je je klanten niet hoeft in te lichten? Ik weet niet zo goed wat ik hiervan moet denken maar ik vind dit niet pluis...om het zo dan maar te noemen.

Stel ik werk bij BNN/VARA en ik bel omdat ik op internet zie dat er lekken zijn en er data gelekt is en vraag of dit ook voor ons bedrijf geldt. Dan hoeft daar dus blijkbaar geen antwoord op gegeven te worden.

Ik snap ook niet dat de verantwoordelijkheid ligt bij de Verwerkingsverantwoordelijke. Als iemand een formuliertje afneemt wil dat toch niet zeggen dat hij zelf verantwoordelijk is om klanten in te lichten over een lek? De Verwerkingsverantwoordelijke weet namelijk van niks als er geen info gedeeld wordt door de Verwerker, laatstaan wie er echt getroffen zijn en welke data er is gelekt.
Hoe kunnen ze dan klanten inlichten?

Misschien snap ik het niet maar ik vind dit echt heel erg vreemd. Bedrijven die dit hebben opgenomen in hun verwerkersovereenkomst zou ik zelf links laten liggen.

[Reactie gewijzigd door jeffer op 15 juni 2021 14:45]

Dit is normaal hoor.
Als verwerker zijn ze wel verplicht om hun getroffen klanten te informeren over het datalek.
Die klanten moeten dan op zich de personen informeren van welke de gegeven gelekt zijn.
Als verwerker kan je de personen niet informeren want je mag hun gegevens niet inkijken.
Dit snap ik idd, goed dat je het zo aankaart want volgens mij begrijp ik die verwerkersovereenkomst niet. Ik ga er ook vanuit dat het verplicht is om dit te melden aan de klant, niet de klanten van de klant.
Ik begrijp hier de term toezichthouder misschien niet want ik ging er vanuit dat de toezichthouder de klant zou zijn. De verwerker of 'baas' van verwerker.
Voor mij is dit deel onduidelijk maar eerlijk gezegd vind ik ditsoort teksten altijd lastig geschreven vanwege ditsoort termen.
Toezichthouder = dienst voor privacy van de overheid.
Verwekingsverantwoordelijke = firma die jouw gegevens gebruikt voor iets.
Verwerker = Een soort subcontractor die diensten aanbiedt waarvan de verwerkingsverantwoordelijke gebruik maakt.

Voorbeeld: Firma MooieLeukeKleren heeft een winkel met klantenbestand. Het klatenbestand houden ze bij in een database op Amazon AWS.
MooieLeukeKleren = Verwerkingsverantwoordelijke. Zij verzamelen jouw gegevens als je er iets koopt of inschrijft op hun nieuwsbrief.
Amazon AWS is een verwerker want zij bieden de database technologie aan. De persoonlijke gegevens staan in die database maar Amazon zelf kan/mag deze niet inkijken.

Als Amazon AWS zou een databreach hebben dan zullen zij MooieLeukeKleren informeren daarover. En MooieLeukeKleren moet jou op de hoogte brengen en ook de toezichthouder.
waar doen ze dat dan? volgens mij zeggen ze alleen dat ze niet het enige bedrijf zijn dat erdoor getroffen is.
Ik vond dit .PDF document van Google (14 pagina's, Engelstalig) vrij goed te volgen als 'leek' en het heeft een paar goeie en makkelijk uit te voeren tips om je (bestaande) eigen wachtwoorden sterker te maken.

Link is voor directe download @ 200KB: https://cloud.google.com/...ssword-security-for-users

Meer algemeen: als bv. een webshop me verplicht een account aan te maken (en dus geen 'betaal als gast' optie aanbiedt) is dat in 99% van de gevallen voor mij een reden om te proberen het gewenste artikel ergens anders te krijgen. Uitzonderingen zijn vaak grote en gerenommeerde sites die een eigen IT staf hebben met een security team dat zich heeft bewezen (voorzover hierover inzicht is).

Eenmalige aankopen via een verplichte account waarvoor geen alternatief is gaan via tijdelijke wegwerp registratie zonder mijn echte gegevens prijs te geven.

[Reactie gewijzigd door Peter_Utrecht op 15 juni 2021 19:50]

Eenmalige aankopen via een verplichte account waarvoor geen alternatief is gaan via tijdelijke wegwerp registratie zonder mijn echte gegevsn prijs te geven.
Ik neem aan dat je je pakketje thuis laat bezorgen? Dus eigenlijk gebruik je dan alleen een wegwerp e-mail?
Bezorgen kan vaak bij een zg. 'afhaal punt'. Dat werkt prima voor mij.
Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd.
Waar ik zelf mijn wenkbrauwen bij optrek is dat binnen een 'een aantal dagen' een lek is gevonden en misbruikt.
Klinkt een beetje misleidend, om het over te laten te komen als 'een paar dagen' terwijl 'een aantal dagen' ook natuurlijk 'een 1000 dagen' zou kunnen betekenen...
Veel bedrijven en andere organisaties laten verwerking door andere bedrijven doen, zonder dat voor klanten duidelijk is wanneer dat het geval is, zonder dat duidelijk is welk bedrijf de verwerking echt doet, zonder duidelijkheid hoe dat veilig is en zonder dat bij problemen als een datalek of andere ondeugdelijke praktijken duidelijk is met wie ze wel en niet te maken hebben.

Het lijkt me redelijker als er vanaf het begin voor klanten duidelijk is wie echt de persoonsgegevens aan het verwerken is, in plaats van dat er voor deze organisaties zoveel mogelijk ruimte is om daar schimmig over te doen. Niet duidelijk willen zijn lijkt de bedoeling te hebben om er als verwerkers zelf zo min mogelijk last van te hebben. Het onredelijke is dat klanten die slachtoffer zijn kennelijk maar blij moeten zijn dat pas als het te laat is er misschien een beetje duidelijkheid voor ze komt. Dat als het te laat is er wel beter naar beveiliging zou worden gekeken. En op compensatie hoeft niemand te rekenen, want dan moet het slachtoffer maar kunnen aantonen dat er schade is en wie schuld heeft.
Ik zie het nut als klant niet in wie mijn persoonlijke gegevens verwerkt. Als klant wil ik bij die handeling dat het veilig en secuur gebeurt. Of het nu door Pietje of Jantje is beheerd achteraf heb ik daar niet veel aan. Ik lever mijn gegevens voor een dienst niet met het doel achteraf schade te kunnen verhalen en ook niet voor derdengebruik. Als dat achteraf het geval is dan hoort daar vooraf beleid op te zijn gemaakt door een Wetgeving- en handhaving instantie (AVG).
De laatste tijd schieten dit soort lekken als paddestoelen uit de grond, ik zie soms het nut niet meer in om dit soort formulieren naar waarheid in te vullen
Als keer op keer blijkt dat je er niet zomaar vanuit kan gaan dat anderen voldoende rekening met jou houden dan vraag ik me af waarom het redelijk zou zijn om zelf niet meer te willen weten voordat je gegevens geeft of als je ze hebt gegeven. Dat klinkt vooral handig om zelf geen verantwoordelijkheid te hoeven nemen. Maar daar gaat het gevolg van het lekken niet mee weg.
ter voorbeelden:
Ik zou niet weten waarom ik mij bij een coolblue moet registreren als klant ik een muis koop. Is het voor mij handig dat zij mijn gegevens hebben in hun database die straks de kans heeft op straat te liggen? Ik zie niet in dat ik daar meer baat bij heb dan hen. Ik ga hun ook niet vragen bij wie ze dat soort afhandelingen laten toen op hun website. Ik verwacht dat ze het mocht ik ervoor kiezen dat ze het secuur en veilig doen en als ze die verantwoordelijkheid hebben gegeven aan derden partijen dat die het veilig doen, ik hoef hun niet te kennen met naam en toenaam, Coolblue als opdrachtgever/ uitbesteder wel.

ik heb in mijn zak een authentiek 50 eurobiljet afkomstig van een kassa, de kans is groot dat die komt uit een bankautomaat en waarschijnlijk door vele vreemde handen is geweest, het interesseerd mij echt niet wie dat zijn geweest. Ik weet dat het erkend is door de staat en europese banken en kan er prima pils mee krijgen bij het cafe. Waar het gedrukt is interesseert mij geen bal. Mijn naw liggen niet op straat als ik het uitgeef.

In het papierentijdperk en het vroege digitale tijdperk waren de NAW gegevens die je verstrekte simpel. Mijn brievenbus werd alleen gespamt met folders waar ik zelf om vroeg evenals mijn inbox. Nu willen alle shops en niet-shops graag dat je registreert.Mijn echte brievenbus durven die gasten niet te spammen want dat kost echt geld. Wordt tijd dat er ook zo'n digitale drempel komt voor mijn inbox

Inderdaad het gevolg van lekken gaat niet weg, maar de verantwoordelijkheid hoort bij de partij te zijn die gegevens wil opslaan/opslaat en niet bij de burger/consument wiens naw op straat komt. Denk je dat je als burger enige schadevergeding ontvangt? Mijn NAW liggen ook op straat doordat ik aangemeld stond in dat APK systeem voor mijn autokeuring

[Reactie gewijzigd door 80sdude op 17 juni 2021 13:59]

Ik heb verder geen research gedaan maar ik vermoed dat het simpelweg het onderscheppen van unencrypted data via HTTP post betreft. Tja, PHP, zo lek als een mandje en niet compatible met Bigtech. Die hebben die techniek en taal al lang afgeschreven.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True