Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Holland America Line waarschuwt voor datalek met paspoortgegevens

De moedermaatschappij van Holland America Line is getroffen door een inbraak op zijn systemen. De criminelen wisten daarbij toegang te verkrijgen tot persoonlijke gegevens zoals paspoortnummers en burgerservicenummers.

De inbraak bij Carnival Corp. vond half maart plaats en werd op 19 maart ontdekt, waarna een beveiligingsbedrijf werd ingeschakeld om de impact te onderzoeken. De onbevoegde toegang betrof data van klanten en personeelsleden. Volgens het bedrijf ging het om data met betrekking tot boekingen en dienstverlening en zijn rol als werkgever. Carnival Corp. zegt dat onder andere covid-testen onderdeel zijn van de dienstverlening.

Concreet gaat het daarbij om namen, adressen, telefoonnummers, paspoortnummers, geboortedata en gezondheidsgegevens. Ook gaat het om burgerservicenummers, maar het bedrijf claimt dat dit 'in enkele gelimiteerde gevallen' zo kan zijn. Er zou bewijs zijn dat er 'een kleine kans' op misbruik van de data is, luidt verder de claim.

Carnival Corp. claimt meldingen van het datalek ingediend te hebben bij de vereiste instanties. Op de website van het bedrijf, noch die van dochterbedrijven Carnival Cruise Line, Holland America Line en Princess Cruises, is een melding te vinden, maar volgens Associated Press heeft het bedrijf wel klanten op de hoogte gebracht. Security.nl wijst op een melding uit naam van Holland America Line bij de procureur-generaal van de Amerikaanse staat Montana met als datum 7 mei.

Niet bekend is hoeveel klanten van de cruisemaatschappij zijn getroffen. Vorig jaar is Carnival Corp. getroffen door ransomware.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

18-06-2021 • 16:47

67 Linkedin

Submitter: juliank

Reacties (67)

Wijzig sortering
Er valt een hoop te zeggen over het geval zelf: had HAL wel de juiste waarborgen? Aan de andere kant: ze zijn slachtoffer. En waarom toch altijd dat eeuwige ‘downplayen’ van zo’n lek?

Maar het gevoel dat mij bekruipt: het wordt domweg tijd voor een nieuwere vorm van identificatie, eentje waarbij we niet afhankelijk zijn van een “geheim” dat je met iedereen moet delen: het burgerservicenummer.

Hoe precies dat eruit ziet of in zijn werk moet gaan, maar in deze tijd van altijd on-line moet er toch iets van een ‘identiteitsservice’ te bedenken zijn, die net zoals bij een login ergens op basis van een tijdelijk, eenmalig token je identificeert?
DigiD zou moeten kunnen doen wat je wil of de banken hebben ook een standaard ODIN geloof ik. Maar iedereen lijkt als de dood dat je dan "gevolgd" word door enge mannetjes. Dus dat komt nergens en internationale partijen implementeren niet de lokale standaard, dan moeten ze dat namelijk voor elk land opnieuw doen.

Wellicht word het gewoon tijd om minder moeilijk te doen over het burgerservicenummer. Dat nummer zou alleen voor echte acties gebruikt moeten kunnen worden in combinatie met een tweede factor. Wachtwoord, vingerafdruk of digiD, opties zat. Het BSN is maar een nummer (of zou dat moeten zijn)
Ik roep het al langer, maak van het BSN een soort public key, en geef de mensen (of binnen de overheid) zelf een private key. BSN uitgelekt -> nieuwe BSN, oude ingetrokken, en intern bij de overheid weet men nog steeds wie je bent.
Ook als je het wachtwoord niet hebt kun je het BSN gebruiken om databases aan elkaar te koppelen, en dat is een van de dingen die niet mogen.
Dus vervang je het BSN door een ander nummer, of doe je het op NAW. Enige verschil is een minder nauwkeurige uitkomst en of dan nou een verbetering van de situatie is...

Het kunnen koppelen van databases is niet het probleem en zou altijd moeten mogen. Het probleem is eigenaarschap van de data. Je zou alleen databases moeten kunnen koppelen als je eigenaar bent van de data. Ofwel het is een probleem van toegang niet van data zelf.
Een ID bewijs dat alleen de noodzakelijke informatie toont en niet gelijk alles? Of alleen een bevestiging van de identiteit met JA en niet een kopie van de identiteit?

https://privacybydesign.foundation/irma-uitleg/
Die Holland America Lijn mag het BSN helemaal niet verwerken. In die zin is het dus wettelijk al goed geregeld. Mogelijk slaan ze allemaal kopieën van paspoorten op waarop het BSN nog gewoon te lezen valt.
Of het is de data van hun werknemers. Als werkgever zijn ze wel verplicht een kopie-ID op te slaan.
Hoort die officieel niet deels afgedekt te zijn? Of is dat bij een werkgever niet nodig?
Niet bij de werkgever, werkgever is een uitzondering op de normale BSN-regels
Ho. Een werkgever is verplicht om een bsn te hebben voor belastingdoeleinden. Echter is de kopie ID volgens mij niet verplicht met BSN. Documentnummer is dan voldoende voor de fiscus.
Het draait hier niet om de Fiscus. Als jij een cruise door bijv. de Middenlandse zee boekt, dan kom je in pakweg 10 dagen langs 8 verschillende landen, die graag in één keer duizenden reizigers inchecken. Ik ben niet op de hoogte of alle landen een "halve" kopie van een paspoort accepteren. Zelf lijkt het mij vreemd als je gaat toestaan dat een deel van de kopie afgedekt is, en je bij elke kopie na moet gaan of er ook echtheidskenmerken afgedekt zijn.

Het laatste wat de HAL wil, is dat ze bij de douane van een steekproef nemen, niet tevreden zijn met een één deels afgedekte kopie, en de hele stapel afkeuren. Nu mag je als vakantiebedrijf aan duizenden mensen op de cruise vertellen dat zij vandaag geen pyramide, scheve toren of acropolis te zien krijgen. Not good for business.

Uiteraard verwacht ik dat ze deze gegevens na je reis weer netjes vernietigen.
Ja maar daar reageerde ik dus niet op. Ging om werkgevers.

Overigens is het bij cruises gebruikelijk dat je identiteitspapieren worden ingenomen voor grenscontroles en dergelijke. Dit geeft de ANWB ook aan: https://www.anwb.nl/vakan...poort-wel-of-niet-afgeven
(Zie bijzondere situaties onderaan). Dit is echter fysiek en niet digitaal. Een douane gaat nooit akkoord met een fotokopie, maar alleen met het origineel.
Uiteraard verwacht ik dat ze deze gegevens na je reis weer netjes vernietigen.
er zouden helemaal geen gegevens moeten zijn om te vernietigen. Het kopiëren van een identiteitskaart is altijd een slecht idee. Op een cruise is afgeven dan nog de beste optie.
Zelfs verplicht :)
Nee, als werkgever heb je die gegevens nodig voor de belastingdienst.
Mocht nu blijken dat het BSN alsnog verwerkt is en in deze gelekt is dan lijkt het mij een inbreuk op de GDPR wetgeving en mag het bedrijf gewoon voor de rechter gesleurd worden. Veel te veel bedrijven denken dat ze god zelf zijn met overal kopieen en data vergaren die ze niet nodig hebben. Daar mag eens veel harder tegen opgetreden worden. Die nieuwe Europese richtlijnen zijn er niet voor niets.
Ja, klopt. Twee jaar geleden checkte ik in in een hotel op Sardinië en de man achter de receptie wilde voor de registratie met zijn Samsung smartphone even een foto maken van mijn paspoort. AVG was al van kracht maar het interesseert ze niets.
Het mooie is zelfs dat in het buitenland je vaak niet eens kan inchecken zonder volledige kopie. Weiger je dat, dan moet je op zoek naar een andere slaapplek. En dan succes!
Kopie? Je mag blij zijn als ze je paspoort niet "innemen".
Dan wil ik wel eens weten waar je dat hebt meegemaakt. Want dat is in geen enkel beschaafd land toegestaan.
Hahaha zelfs binnen europa nemen ze even je paspoort mee. Ik ben zoo terug …
Jawel hoor. In spanje en italië ben je het spulletje soms meerdere dagen kwijt:
Bij verblijf in Rusland, Italië, Spanje, Kroatië en Aziatische landen wordt het paspoort soms ingenomen voor een aantal dagen voor een controle door de autoriteiten.
https://www.anwb.nl/vakan...poort-wel-of-niet-afgeven
Nee hoor, je kunt rustig weigeren. In Spanje moesten we ook het paspoort laten scannen door "hun" app. Dat stonden we niet toe, wel aangeboden in kopie te maken en versturen met KopieID. Dat kon niet , dat mocht niet, ze moesten hun app gebruiken van de politie. Dus voorgesteld om samen naar het politiebureau te gaan om het even te regelen. Toen was de kopie van KopieID wel goed.

Soortgelijke situatie een aantal jaren daarvoor in Sardinië. Ook geweigerd en even de brief van de ANWB onder de neus geduwd (in het Italiaans). Ook toen een "oke, voor deze keer" reactie, maar uiteindelijk zonder problemen.
Kortom, gewoon voet bij stuk houden, briefje meenemen en dan komt het goed.
Dat is Europa, ga nu maar eens buiten Europa op reis
Heb u voor mij ook zo'n briefje in het Moldavisch?
In de afgelopen 20 jaar is er 1* om een kopie gevraagd in Engeland waarop niet alles weggestreept mocht worden, toen heb ik de politie gebeld en de hotelier werd direct op de bon geslingerd, vooral omdat de beste man tegen de politie zei dat hij dit van de politie.moest doen (dit was 2019 in Maidenhead). In hele verre landen en dictaturen lever ik een gecensureerde kopie, maar wordt vaak genoeg niet gevraagd en is nooit een probleem, men is meer geïnteresseerd in een visum dan de plastic bladzijde. In de meeste hotels wordt nog met de hand ingeschreven/getypt. Persoonlijk word ik in Europa eigenlijk helemaal nooit om een ID gevraagd, je paspoortnummer opnoemen is voldoende. Sardinië/Spanje/Italië/Balkan heb ik allemaal bezocht in de afgelopen paar jaar. Voor Corona gemiddeld 10 landen per jaar bezocht voor werk, teller staat op 100+ landen. Enige niet gecensureerde kopieën zijn gemaakt op ambassade of consulaat van het te bezoeken land, als ik ooit iets inlever is het mijn camping carnet, maar die is daarvoor. Het enige verschil tussen mij en andere ervaringen is dat ik eigenlijk helemaal nooit in een hotel verblijf waar toeristen komen, dat zou wel een verschil kunnen zijn.
Hoe heb je dit afgehandeld? Lijkt me dat je de beste man hebt tegengehouden? En toen?

Ik weet dat ze soms moeilijk doen als je gebruik maakt van de KopieID app, "nee we moeten echt alle gegevens hebben". Of als je zelf een kopie meeneemt waarbij je het BSN afschermt, accepteren ze ook niet altijd. En dan...?
Politie bellen, wijzen op de wet en volhouden. In de praktijk ga je dan wel een ongewenste gast worden maar als bevolking moeten we hier eigenlijk eens massaal voet bij stuk houden. Maar ja, leg dat de massa maar eens uit, die interesseert het geen ruk en ziet de persoon die wel respect vraagt voor zijn/haar rechten als een lastpost.
Denk je dat echt mensen op vakantiebestemming na een vermoeiende reis moeite en energie gaan spenderen om bezig te zijn met de politie en je recht proberen te behalen allemaal om een kopie van je paspoort? Zo werkt het niet helaas.
Zie mijn laatste zin :) .
Ja en ik geef men geen ongelijk. Als je in het buitenland bent en je doet moeilijk met de politie dan heb je ook nog de kans dat het hotel zegt bekijk het maar. Mag je met een beetje pech een nieuwe accommodatie zoeken. Nee dan laat ik maar een kopie maken van mijn paspoort.
Bereidt jij je reis nooit voor? Vraag het hotel voordat je boekt of ze ermee akkoord gaan volgens de wet te handelen omdat je anders naar een ander zult moeten gaan.
Sommige mensen gaan spontaan op reis en beslissen onderweg waar ze overnachten.

Heb jij geen inlevingsvermogen? :+
Heb ik met campings gedaan. Geen probleem, maar manouvreer jezelf niet in de positie dat je geen 'nee' meer kunt zeggen. Zorg dus dat je op tijd en zonder stress arriveert en ga dan wat hotels af.
Je hebt helemaal gelijk.
ik wou dat meer mensen zo denken...
Kopie ID app installeren, gegevens met balk en lekker een foto van je scherm laten maken
Kopie ID app installeren, gegevens met balk en lekker een foto van je scherm laten maken
genoeg hotels e.d. accepteren dat niet..

en dan is het simpel: wil je overnachten/boeken of niet..
daar sta jij als consument letterlijk zonder keuze
Binnen Europa werkt het dan vaak nog als je zegt dat je dan aangifte bij de politie gaat doen van onterechte dataverwerking en het illegaal kopiëren van identiteitsbewijzen. Vaak zijn ze er toch wel gevoelig voor als je ook nog eens laat zien dat je zelf wel de wet kent en dat het voldoende is om het documentnummer te registreren.
[...]
genoeg hotels e.d. accepteren dat niet..

en dan is het simpel: wil je overnachten/boeken of niet..
daar sta jij als consument letterlijk zonder keuze
Dan draai je de keuze om... Ik heb altijd fotokopieën van mijn paspoort bij me - met belangrijke nummers weggewerkt (geen zwarte balken, gewoon weggephotoshopt). Ik overhandig die bij hotels die een paspoort willen zien (en soms zelfs het achterlaten van een paspoort vereisen). Vragen ze toch om een paspoort, dan zeg ik dat ik die niet bij me heb... "in andere bagage" o.i.d. zeg ik dan desnoods (heb ik in Turkije, Spanje en Griekenland gedaan). Dan accepteren ze de kopie want - tja - of ze hebben een betalende klant, of niet, dan staan ze als hotel zonder keuze.
Ja die gebruik ik ook, maar heel veel mensen geven zonder enig tegensputteren hun paspoort af om een kopie te laten maken.
Ja, misschien net zo iets als met het kentekenbewijs doen? Deel 1 en deel 2 voor de veiligheid.
De onbevoegde toegang betrof data van klanten en personeelsleden.
Ook gaat het om burgerservicenummers, maar het bedrijf claimt dat dit 'in enkele gelimiteerde gevallen' zo kan zijn.
Als het op kopieën van passagiers paspoorten gaat, zou dit niet in gelimiteerde gevallen zijn.
Klinkt dus inderdaad dat het gaat om werknemers, zou geen andere voorbeeld kunnen noemen waarbij gelimiteerd een BSN nummer nodig is.
Als het op kopieën van passagiers paspoorten gaat, zou dit niet in gelimiteerde gevallen zijn.
Oh jawel hoor. Je hebt bepaalde landen die vooraf een kopie paspoort vereisen voor bijv. inreisvisa. Reisaanbieders regelen dat soort ongein in de regel voor je. Als je toevallig een cruise boekt die aanmeert op zo'n plek, dan heb je kans dat dus om die gegevens gevraagd wordt.
Een visum aanvraag gaat via een ambassade, niet via reisorganisaties, of eventueel via een visum centrale, als je geen zin hebt om in de rij te staan. Een vreemde overheid mag dat wel vragen, TUI/Corendon/Riksja niet.
Ik kreeg een visum voor Rusland via HAL toen wij een cruise maakten met een stop in St.Petersburg, dat was een speciaal visum waarbij de normale eisen niet golden.
Interessant, voor vakantie heb ik ook wel met reisorganisaties geboekt maar werd dan altijd doorverwezen met instructies naar consulaat/ambassade. Had niet gedacht dat reisorganisaties dit als service doen, maar wie ben ik.
Cruissechip gaat net even anders.
Dan kan zeker op passagiers slaan. Veel mensen leveren zonder na te denken een kopie van hun paspoort in. Anderen sturen een kopie door waarop foto en BSN onleesbaar zijn gemaakt. Daarnaast zijn er allerlei mensen met een nieuwe ID-kaart waar het BSN ook niet op staat. HAL vaart verzorgt ook cruises in Europa waardoor mensen geen paspoort nodig hebben.
In het artikel staat volgens mij dat het om werknemers gaat.
Volgens mij staat dat er niet. Enerzijds staat er dat er gegevens van werknemers en klanten gelekt zijn en anderzijds staat er welke gegevens er zoals gelekt zijn. Er staat niet dat de BSNs van de werknemers zijn.
Aanmelden met eid moet toch voldoende zijn? Of mis ik iets
Nog niets gemerkt. Ben inmiddels met pensioen.
Je moet me vergeven als ik even, 2 weken na dato, niet helemaal de context waarop je reageert paraat heb!
Had al een brief ontvangen, als personeelslid. Ben benieuwd hoe ze degenen inlichten waarbij ook BSNs zijn buitgemaakt.
Mag ik vragen van-tot wanneer je werknemer was? Ik ben benieuwd of ik er nog eentje tegemoet zou moeten zien.
Van grofweg halverwege 2018 tot halverwege 2020 als cadet. Ik heb alleen een brief gekregen, terwijl collega’s juist een e-mail kregen. Weet niet hoe dat zit.
Mogelijk omdat onduidelijk is of je email wel van jou is? Als je een brief naar een oud of verkeerd adres stuurt is duidelijk dat een ander het niet zomaar mag ontvangen of zelfs lezen.
Ik heb ook de brief gekregen. Er stond niet eens een afzender op dus wist niet van wie de brief afkomstig was. Aangezien de brief in het Engels was, ik bij de HAL werkte en dit in het nieuws las, kwam ik er zo achter...
Idem! Ik heb hier ook een brief over ontvangen (Jan 2020- April 2020). Kunnen we hier nog iets tegen doen? Zoals bijv overheid inlichten over mogelijkheid tot identiteitsfraude?
Waarom zou HAL al deze gegevens blijven bewaren? Totaal kansloos en zou verboden moeten worden. Na mijn reis bij de HAL, verwacht ik dat alle belangrijke (lees gevoelige) informatie binnen enkele dagen verwijderd dient te worden. Alleen algemene info zoals namen, emails en reis-data kan natuurlijk blijven.
Wie gaat het allemaal uitzoeken en verwijderen ? Dat kost te veel werk en tijd.
Automatiseren? X aantal dagen nadat de cruise is afgelopen automatisch bepaalde gegevens verwijderen. Kan geen rocket-science zijn.
Waarom heeft zo'n bedrijf BSN-ers opgeslagen? Volgens mij mag dat helemaal niet in kader van AVG. Hebben hun ook niet nodig.

Ik heb voor hotels ed altijd een papieren kopie bij me met doorgestreept BSN-nr en dat kunnen ze krijgen voor hun administratie. Een kopie maken van mijn paspoort weiger ik altijd.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True