Holland America Line waarschuwt voor datalek met paspoortgegevens

De moedermaatschappij van Holland America Line is getroffen door een inbraak op zijn systemen. De criminelen wisten daarbij toegang te verkrijgen tot persoonlijke gegevens zoals paspoortnummers en burgerservicenummers.

De inbraak bij Carnival Corp. vond half maart plaats en werd op 19 maart ontdekt, waarna een beveiligingsbedrijf werd ingeschakeld om de impact te onderzoeken. De onbevoegde toegang betrof data van klanten en personeelsleden. Volgens het bedrijf ging het om data met betrekking tot boekingen en dienstverlening en zijn rol als werkgever. Carnival Corp. zegt dat onder andere covid-testen onderdeel zijn van de dienstverlening.

Concreet gaat het daarbij om namen, adressen, telefoonnummers, paspoortnummers, geboortedata en gezondheidsgegevens. Ook gaat het om burgerservicenummers, maar het bedrijf claimt dat dit 'in enkele gelimiteerde gevallen' zo kan zijn. Er zou bewijs zijn dat er 'een kleine kans' op misbruik van de data is, luidt verder de claim.

Carnival Corp. claimt meldingen van het datalek ingediend te hebben bij de vereiste instanties. Op de website van het bedrijf, noch die van dochterbedrijven Carnival Cruise Line, Holland America Line en Princess Cruises, is een melding te vinden, maar volgens Associated Press heeft het bedrijf wel klanten op de hoogte gebracht. Security.nl wijst op een melding uit naam van Holland America Line bij de procureur-generaal van de Amerikaanse staat Montana met als datum 7 mei.

Niet bekend is hoeveel klanten van de cruisemaatschappij zijn getroffen. Vorig jaar is Carnival Corp. getroffen door ransomware.

Holland America Line

Reacties (67)

Keypunchie 18 juni 2021 16:54

Er valt een hoop te zeggen over het geval zelf: had HAL wel de juiste waarborgen? Aan de andere kant: ze zijn slachtoffer. En waarom toch altijd dat eeuwige ‘downplayen’ van zo’n lek?

Maar het gevoel dat mij bekruipt: het wordt domweg tijd voor een nieuwere vorm van identificatie, eentje waarbij we niet afhankelijk zijn van een “geheim” dat je met iedereen moet delen: het burgerservicenummer.

Hoe precies dat eruit ziet of in zijn werk moet gaan, maar in deze tijd van altijd on-line moet er toch iets van een ‘identiteitsservice’ te bedenken zijn, die net zoals bij een login ergens op basis van een tijdelijk, eenmalig token je identificeert?

bzuidgeest @Keypunchie • 18 juni 2021 17:05

DigiD zou moeten kunnen doen wat je wil of de banken hebben ook een standaard ODIN geloof ik. Maar iedereen lijkt als de dood dat je dan "gevolgd" word door enge mannetjes. Dus dat komt nergens en internationale partijen implementeren niet de lokale standaard, dan moeten ze dat namelijk voor elk land opnieuw doen.

Wellicht word het gewoon tijd om minder moeilijk te doen over het burgerservicenummer. Dat nummer zou alleen voor echte acties gebruikt moeten kunnen worden in combinatie met een tweede factor. Wachtwoord, vingerafdruk of digiD, opties zat. Het BSN is maar een nummer (of zou dat moeten zijn)

William_H @bzuidgeest • 19 juni 2021 14:37

Ik roep het al langer, maak van het BSN een soort public key, en geef de mensen (of binnen de overheid) zelf een private key. BSN uitgelekt -> nieuwe BSN, oude ingetrokken, en intern bij de overheid weet men nog steeds wie je bent.

Alex3 @bzuidgeest • 19 juni 2021 00:44

Ook als je het wachtwoord niet hebt kun je het BSN gebruiken om databases aan elkaar te koppelen, en dat is een van de dingen die niet mogen.

bzuidgeest @Alex3 • 21 juni 2021 14:55

Dus vervang je het BSN door een ander nummer, of doe je het op NAW. Enige verschil is een minder nauwkeurige uitkomst en of dan nou een verbetering van de situatie is...

Het kunnen koppelen van databases is niet het probleem en zou altijd moeten mogen. Het probleem is eigenaarschap van de data. Je zou alleen databases moeten kunnen koppelen als je eigenaar bent van de data. Ofwel het is een probleem van toegang niet van data zelf.

Dalmans @Keypunchie • 18 juni 2021 17:05

Een ID bewijs dat alleen de noodzakelijke informatie toont en niet gelijk alles? Of alleen een bevestiging van de identiteit met JA en niet een kopie van de identiteit?

https://privacybydesign.foundation/irma-uitleg/

bytemaster460 @Keypunchie • 18 juni 2021 16:57

Die Holland America Lijn mag het BSN helemaal niet verwerken. In die zin is het dus wettelijk al goed geregeld. Mogelijk slaan ze allemaal kopieën van paspoorten op waarop het BSN nog gewoon te lezen valt.

hackerhater @bytemaster460 • 18 juni 2021 17:00

Of het is de data van hun werknemers. Als werkgever zijn ze wel verplicht een kopie-ID op te slaan.

jdh009 @hackerhater • 18 juni 2021 17:08

Hoort die officieel niet deels afgedekt te zijn? Of is dat bij een werkgever niet nodig?

hackerhater @jdh009 • 18 juni 2021 17:09

Niet bij de werkgever, werkgever is een uitzondering op de normale BSN-regels

supersnathan94

Datalek

@hackerhater • 18 juni 2021 20:34

Ho. Een werkgever is verplicht om een bsn te hebben voor belastingdoeleinden. Echter is de kopie ID volgens mij niet verplicht met BSN. Documentnummer is dan voldoende voor de fiscus.

Nystran @supersnathan94 • 18 juni 2021 21:12

Het draait hier niet om de Fiscus. Als jij een cruise door bijv. de Middenlandse zee boekt, dan kom je in pakweg 10 dagen langs 8 verschillende landen, die graag in één keer duizenden reizigers inchecken. Ik ben niet op de hoogte of alle landen een "halve" kopie van een paspoort accepteren. Zelf lijkt het mij vreemd als je gaat toestaan dat een deel van de kopie afgedekt is, en je bij elke kopie na moet gaan of er ook echtheidskenmerken afgedekt zijn.

Het laatste wat de HAL wil, is dat ze bij de douane van een steekproef nemen, niet tevreden zijn met een één deels afgedekte kopie, en de hele stapel afkeuren. Nu mag je als vakantiebedrijf aan duizenden mensen op de cruise vertellen dat zij vandaag geen pyramide, scheve toren of acropolis te zien krijgen. Not good for business.

Uiteraard verwacht ik dat ze deze gegevens na je reis weer netjes vernietigen.

supersnathan94

Datalek

@Nystran • 18 juni 2021 22:38

Ja maar daar reageerde ik dus niet op. Ging om werkgevers.

Overigens is het bij cruises gebruikelijk dat je identiteitspapieren worden ingenomen voor grenscontroles en dergelijke. Dit geeft de ANWB ook aan: https://www.anwb.nl/vakan...poort-wel-of-niet-afgeven
(Zie bijzondere situaties onderaan). Dit is echter fysiek en niet digitaal. Een douane gaat nooit akkoord met een fotokopie, maar alleen met het origineel.

Uiteraard verwacht ik dat ze deze gegevens na je reis weer netjes vernietigen.

er zouden helemaal geen gegevens moeten zijn om te vernietigen. Het kopiëren van een identiteitskaart is altijd een slecht idee. Op een cruise is afgeven dan nog de beste optie.

Deleon78 @jdh009 • 18 juni 2021 17:14

Zelfs verplicht

moonlander @jdh009 • 18 juni 2021 17:34

Nee, als werkgever heb je die gegevens nodig voor de belastingdienst.

Andros @bytemaster460 • 18 juni 2021 17:07

Mocht nu blijken dat het BSN alsnog verwerkt is en in deze gelekt is dan lijkt het mij een inbreuk op de GDPR wetgeving en mag het bedrijf gewoon voor de rechter gesleurd worden. Veel te veel bedrijven denken dat ze god zelf zijn met overal kopieen en data vergaren die ze niet nodig hebben. Daar mag eens veel harder tegen opgetreden worden. Die nieuwe Europese richtlijnen zijn er niet voor niets.

bytemaster460 @Andros • 18 juni 2021 17:13

Ja, klopt. Twee jaar geleden checkte ik in in een hotel op Sardinië en de man achter de receptie wilde voor de registratie met zijn Samsung smartphone even een foto maken van mijn paspoort. AVG was al van kracht maar het interesseert ze niets.

moonlander @bytemaster460 • 18 juni 2021 17:33

Het mooie is zelfs dat in het buitenland je vaak niet eens kan inchecken zonder volledige kopie. Weiger je dat, dan moet je op zoek naar een andere slaapplek. En dan succes!

Patriot @moonlander • 18 juni 2021 18:15

Kopie? Je mag blij zijn als ze je paspoort niet "innemen".

Blokker_1999

Datalek
Beveiliging en antivirus

@Patriot • 18 juni 2021 18:42

Dan wil ik wel eens weten waar je dat hebt meegemaakt. Want dat is in geen enkel beschaafd land toegestaan.

x280 @Blokker_1999 • 18 juni 2021 22:28

Hahaha zelfs binnen europa nemen ze even je paspoort mee. Ik ben zoo terug …

supersnathan94

Datalek

@Blokker_1999 • 18 juni 2021 22:39

Jawel hoor. In spanje en italië ben je het spulletje soms meerdere dagen kwijt:

Bij verblijf in Rusland, Italië, Spanje, Kroatië en Aziatische landen wordt het paspoort soms ingenomen voor een aantal dagen voor een controle door de autoriteiten.

https://www.anwb.nl/vakan...poort-wel-of-niet-afgeven

PolkaDanser @moonlander • 18 juni 2021 19:08

Nee hoor, je kunt rustig weigeren. In Spanje moesten we ook het paspoort laten scannen door "hun" app. Dat stonden we niet toe, wel aangeboden in kopie te maken en versturen met KopieID. Dat kon niet , dat mocht niet, ze moesten hun app gebruiken van de politie. Dus voorgesteld om samen naar het politiebureau te gaan om het even te regelen. Toen was de kopie van KopieID wel goed.

Soortgelijke situatie een aantal jaren daarvoor in Sardinië. Ook geweigerd en even de brief van de ANWB onder de neus geduwd (in het Italiaans). Ook toen een "oke, voor deze keer" reactie, maar uiteindelijk zonder problemen.
Kortom, gewoon voet bij stuk houden, briefje meenemen en dan komt het goed.

moonlander @PolkaDanser • 18 juni 2021 20:07

Dat is Europa, ga nu maar eens buiten Europa op reis

ajolla @PolkaDanser • 19 juni 2021 05:37

Heb u voor mij ook zo'n briefje in het Moldavisch?

Gover

@moonlander • 18 juni 2021 19:21

In de afgelopen 20 jaar is er 1* om een kopie gevraagd in Engeland waarop niet alles weggestreept mocht worden, toen heb ik de politie gebeld en de hotelier werd direct op de bon geslingerd, vooral omdat de beste man tegen de politie zei dat hij dit van de politie.moest doen (dit was 2019 in Maidenhead). In hele verre landen en dictaturen lever ik een gecensureerde kopie, maar wordt vaak genoeg niet gevraagd en is nooit een probleem, men is meer geïnteresseerd in een visum dan de plastic bladzijde. In de meeste hotels wordt nog met de hand ingeschreven/getypt. Persoonlijk word ik in Europa eigenlijk helemaal nooit om een ID gevraagd, je paspoortnummer opnoemen is voldoende. Sardinië/Spanje/Italië/Balkan heb ik allemaal bezocht in de afgelopen paar jaar. Voor Corona gemiddeld 10 landen per jaar bezocht voor werk, teller staat op 100+ landen. Enige niet gecensureerde kopieën zijn gemaakt op ambassade of consulaat van het te bezoeken land, als ik ooit iets inlever is het mijn camping carnet, maar die is daarvoor. Het enige verschil tussen mij en andere ervaringen is dat ik eigenlijk helemaal nooit in een hotel verblijf waar toeristen komen, dat zou wel een verschil kunnen zijn.

Munki @bytemaster460 • 18 juni 2021 17:37

Hoe heb je dit afgehandeld? Lijkt me dat je de beste man hebt tegengehouden? En toen?

Ik weet dat ze soms moeilijk doen als je gebruik maakt van de KopieID app, "nee we moeten echt alle gegevens hebben". Of als je zelf een kopie meeneemt waarbij je het BSN afschermt, accepteren ze ook niet altijd. En dan...?

Andros @Munki • 18 juni 2021 18:07

Politie bellen, wijzen op de wet en volhouden. In de praktijk ga je dan wel een ongewenste gast worden maar als bevolking moeten we hier eigenlijk eens massaal voet bij stuk houden. Maar ja, leg dat de massa maar eens uit, die interesseert het geen ruk en ziet de persoon die wel respect vraagt voor zijn/haar rechten als een lastpost.

magnifor @Andros • 18 juni 2021 18:41

Denk je dat echt mensen op vakantiebestemming na een vermoeiende reis moeite en energie gaan spenderen om bezig te zijn met de politie en je recht proberen te behalen allemaal om een kopie van je paspoort? Zo werkt het niet helaas.

Andros @magnifor • 18 juni 2021 18:59

Zie mijn laatste zin

magnifor @Andros • 18 juni 2021 20:00

Ja en ik geef men geen ongelijk. Als je in het buitenland bent en je doet moeilijk met de politie dan heb je ook nog de kans dat het hotel zegt bekijk het maar. Mag je met een beetje pech een nieuwe accommodatie zoeken. Nee dan laat ik maar een kopie maken van mijn paspoort.

ajolla @magnifor • 19 juni 2021 05:40

Bereidt jij je reis nooit voor? Vraag het hotel voordat je boekt of ze ermee akkoord gaan volgens de wet te handelen omdat je anders naar een ander zult moeten gaan.

Arrogant @ajolla • 19 juni 2021 12:21

Sommige mensen gaan spontaan op reis en beslissen onderweg waar ze overnachten.

Heb jij geen inlevingsvermogen?

ajolla @Arrogant • 21 juni 2021 02:05

Heb ik met campings gedaan. Geen probleem, maar manouvreer jezelf niet in de positie dat je geen 'nee' meer kunt zeggen. Zorg dus dat je op tijd en zonder stress arriveert en ga dan wat hotels af.

ajolla @Andros • 19 juni 2021 05:38

Je hebt helemaal gelijk.

surfin @Andros • 20 juni 2021 02:03

ik wou dat meer mensen zo denken...

Somoghi @bytemaster460 • 18 juni 2021 17:26

Kopie ID app installeren, gegevens met balk en lekker een foto van je scherm laten maken

mschol @Somoghi • 18 juni 2021 20:09

Kopie ID app installeren, gegevens met balk en lekker een foto van je scherm laten maken

genoeg hotels e.d. accepteren dat niet..

en dan is het simpel: wil je overnachten/boeken of niet..
daar sta jij als consument letterlijk zonder keuze

bytemaster460 @mschol • 18 juni 2021 22:17

Binnen Europa werkt het dan vaak nog als je zegt dat je dan aangifte bij de politie gaat doen van onterechte dataverwerking en het illegaal kopiëren van identiteitsbewijzen. Vaak zijn ze er toch wel gevoelig voor als je ook nog eens laat zien dat je zelf wel de wet kent en dat het voldoende is om het documentnummer te registreren.

Verwijderd @mschol • 19 juni 2021 11:13

[...]
genoeg hotels e.d. accepteren dat niet..

en dan is het simpel: wil je overnachten/boeken of niet..
daar sta jij als consument letterlijk zonder keuze

Dan draai je de keuze om... Ik heb altijd fotokopieën van mijn paspoort bij me - met belangrijke nummers weggewerkt (geen zwarte balken, gewoon weggephotoshopt). Ik overhandig die bij hotels die een paspoort willen zien (en soms zelfs het achterlaten van een paspoort vereisen). Vragen ze toch om een paspoort, dan zeg ik dat ik die niet bij me heb... "in andere bagage" o.i.d. zeg ik dan desnoods (heb ik in Turkije, Spanje en Griekenland gedaan). Dan accepteren ze de kopie want - tja - of ze hebben een betalende klant, of niet, dan staan ze als hotel zonder keuze.

bytemaster460 @Somoghi • 18 juni 2021 19:10

Ja die gebruik ik ook, maar heel veel mensen geven zonder enig tegensputteren hun paspoort af om een kopie te laten maken.

Somoghi @bytemaster460 • 19 juni 2021 10:02

Ja, misschien net zo iets als met het kentekenbewijs doen? Deel 1 en deel 2 voor de veiligheid.

freycinet @bytemaster460 • 18 juni 2021 19:30

met deze erom was die foto geen probleem geweest:
https://webwinkel.anwb.nl/webwinkel/rfid-cover-paspoort.html

Wasabi! @freycinet • 19 juni 2021 12:45

Alleen RFID blokkeren werkt niet.

https://www.security.nl/p...+tegen+uitlezen+rfid-chip

Christoxz @bytemaster460 • 18 juni 2021 17:11

De onbevoegde toegang betrof data van klanten en personeelsleden.

Ook gaat het om burgerservicenummers, maar het bedrijf claimt dat dit 'in enkele gelimiteerde gevallen' zo kan zijn.

Als het op kopieën van passagiers paspoorten gaat, zou dit niet in gelimiteerde gevallen zijn.
Klinkt dus inderdaad dat het gaat om werknemers, zou geen andere voorbeeld kunnen noemen waarbij gelimiteerd een BSN nummer nodig is.

R4gnax

Datalek

@Christoxz • 18 juni 2021 18:41

Als het op kopieën van passagiers paspoorten gaat, zou dit niet in gelimiteerde gevallen zijn.

Oh jawel hoor. Je hebt bepaalde landen die vooraf een kopie paspoort vereisen voor bijv. inreisvisa. Reisaanbieders regelen dat soort ongein in de regel voor je. Als je toevallig een cruise boekt die aanmeert op zo'n plek, dan heb je kans dat dus om die gegevens gevraagd wordt.

Gover

@R4gnax • 18 juni 2021 18:53

Een visum aanvraag gaat via een ambassade, niet via reisorganisaties, of eventueel via een visum centrale, als je geen zin hebt om in de rij te staan. Een vreemde overheid mag dat wel vragen, TUI/Corendon/Riksja niet.

Tijger @Gover • 18 juni 2021 19:15

Ik kreeg een visum voor Rusland via HAL toen wij een cruise maakten met een stop in St.Petersburg, dat was een speciaal visum waarbij de normale eisen niet golden.

Gover

@Tijger • 18 juni 2021 19:24

Interessant, voor vakantie heb ik ook wel met reisorganisaties geboekt maar werd dan altijd doorverwezen met instructies naar consulaat/ambassade. Had niet gedacht dat reisorganisaties dit als service doen, maar wie ben ik.

x280 @Gover • 18 juni 2021 22:31

Cruissechip gaat net even anders.

bytemaster460 @Christoxz • 18 juni 2021 17:18

Dan kan zeker op passagiers slaan. Veel mensen leveren zonder na te denken een kopie van hun paspoort in. Anderen sturen een kopie door waarop foto en BSN onleesbaar zijn gemaakt. Daarnaast zijn er allerlei mensen met een nieuwe ID-kaart waar het BSN ook niet op staat. HAL vaart verzorgt ook cruises in Europa waardoor mensen geen paspoort nodig hebben.

ro4sho @bytemaster460 • 18 juni 2021 18:26

In het artikel staat volgens mij dat het om werknemers gaat.

bytemaster460 @ro4sho • 18 juni 2021 19:13

Volgens mij staat dat er niet. Enerzijds staat er dat er gegevens van werknemers en klanten gelekt zijn en anderzijds staat er welke gegevens er zoals gelekt zijn. Er staat niet dat de BSNs van de werknemers zijn.

THA_ErAsEr @Keypunchie • 18 juni 2021 17:02

Aanmelden met eid moet toch voldoende zijn? Of mis ik iets

Safetyman @Keypunchie • 1 juli 2021 08:39

Nog niets gemerkt. Ben inmiddels met pensioen.

Keypunchie @Safetyman • 1 juli 2021 08:54

Je moet me vergeven als ik even, 2 weken na dato, niet helemaal de context waarop je reageert paraat heb!

Nutbag Deluxe 18 juni 2021 16:58

Had al een brief ontvangen, als personeelslid. Ben benieuwd hoe ze degenen inlichten waarbij ook BSNs zijn buitgemaakt.

DrBackBeat @Nutbag Deluxe • 18 juni 2021 17:13

Mag ik vragen van-tot wanneer je werknemer was? Ik ben benieuwd of ik er nog eentje tegemoet zou moeten zien.

Nutbag Deluxe @DrBackBeat • 18 juni 2021 17:33

Van grofweg halverwege 2018 tot halverwege 2020 als cadet. Ik heb alleen een brief gekregen, terwijl collega’s juist een e-mail kregen. Weet niet hoe dat zit.

kodak

Datalek
Beveiliging en antivirus

@Nutbag Deluxe • 18 juni 2021 18:17

Mogelijk omdat onduidelijk is of je email wel van jou is? Als je een brief naar een oud of verkeerd adres stuurt is duidelijk dat een ander het niet zomaar mag ontvangen of zelfs lezen.

Cranx @Nutbag Deluxe • 19 juni 2021 05:40

Ik heb ook de brief gekregen. Er stond niet eens een afzender op dus wist niet van wie de brief afkomstig was. Aangezien de brief in het Engels was, ik bij de HAL werkte en dit in het nieuws las, kwam ik er zo achter...

Milldyke @Nutbag Deluxe • 19 juni 2021 09:58

Idem! Ik heb hier ook een brief over ontvangen (Jan 2020- April 2020). Kunnen we hier nog iets tegen doen? Zoals bijv overheid inlichten over mogelijkheid tot identiteitsfraude?

slijkie 18 juni 2021 17:58

Waarom zou HAL al deze gegevens blijven bewaren? Totaal kansloos en zou verboden moeten worden. Na mijn reis bij de HAL, verwacht ik dat alle belangrijke (lees gevoelige) informatie binnen enkele dagen verwijderd dient te worden. Alleen algemene info zoals namen, emails en reis-data kan natuurlijk blijven.

x280 @slijkie • 18 juni 2021 22:32

Wie gaat het allemaal uitzoeken en verwijderen ? Dat kost te veel werk en tijd.

Cranx @x280 • 19 juni 2021 05:42

Automatiseren? X aantal dagen nadat de cruise is afgelopen automatisch bepaalde gegevens verwijderen. Kan geen rocket-science zijn.

bussie66 18 juni 2021 23:31

Waarom heeft zo'n bedrijf BSN-ers opgeslagen? Volgens mij mag dat helemaal niet in kader van AVG. Hebben hun ook niet nodig.

Ik heb voor hotels ed altijd een papieren kopie bij me met doorgestreept BSN-nr en dat kunnen ze krijgen voor hun administratie. Een kopie maken van mijn paspoort weiger ik altijd.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (67)

Sorteer op:

Weergave: