Slachtoffers hack provincie Gelderland aangeraden nieuw paspoort aan te vragen

Medewerkers van de provincie Gelderland wordt aangeraden om een nieuw paspoort aan te vragen. Dat doet de provincie naar aanleiding van een hack in augustus, waarbij de personeelsgegevens van 1400 provinciemedewerkers werden buitgemaakt.

Alle medewerkers krijgen de mogelijkheid om een nieuw paspoort aan te vragen, schrijft de Gelderlander. De provincie Gelderland neemt de kosten daarvoor op zich. Het gaat daarbij om een vrijwillige keuze. Medewerkers die zich zorgen maken over hun gegevens, kunnen een nieuw paspoort aanvragen, vertelt een woordvoerder aan het dagblad. Er zijn bij de hack 1400 personeelsdossiers gedownload door criminelen. In totaal werken er bij de provincie ongeveer 1600 medewerkers.

De provincie Gelderland volgt hiermee het advies van het ministerie van Binnenlandse Zaken. Als medewerkers een nieuw paspoort aanvragen, dan kunnen ze hun oude paspoort registeren als gestolen. Als iemand dan misbruik maakt van de gestolen gegevens, dan kunnen medewerkers aantonen dat zij dat niet zelf waren, vertelt een woordvoerder aan de NOS.

De hack kwam in augustus aan het licht. Deze zou plaats hebben gevonden bij een extern IT-bedrijf, waarmee de provincie Gelderland samenwerkte. Deze samenwerking is inmiddels stopgezet. De provincie heeft kort na de hack aangifte gedaan bij de politie en een Incident Respons Team gestart. Dat werkt ook als vraagbaak voor het personeel. Er is ook melding gemaakt bij de Autoriteit Persoonsgegevens.

Reacties (172)

wildhagen

Hackers
Overheid
Nederland
Politiek en recht
Beveiliging en antivirus

5 september 2021 15:05

Alle medewerkers krijgen de mogelijkheid om een nieuw paspoort aan te vragen, schrijft de Gelderlander. De provincie Gelderland neemt de kosten daarvoor op zich.

Vind ik netjes van de provincie, dat zij de kosten op zich nemen. Het is dacht ik niet verplicht, dus voor hetzelfde geld hadden de slachtoffers er zelf voor opgedraaid.

En voor de provincie is het toch weer een stukje positieve PR danwel imagoschade-beperking en goodwill kweken. Voor de kostten hoeven ze het niet te laten, want in het ergste geval (als alle 1400 slachtoffers deze optie kiezen) kost het ze 1400x € 74.77, dus een kleine 105.000 euro, dat valt voor een provincie nog wel te overzien.

[Reactie gewijzigd door wildhagen op 23 juli 2024 15:05]

5V1NA70G @wildhagen • 5 september 2021 15:16

De provincie kan weldegelijk aansprakelijk gesteld worden voor de schade die voortvloeit uit het datalek.

dasiro @5V1NA70G • 5 september 2021 15:27

die externe firma zou ervoor aansprakelijk gesteld moeten worden

D4NG3R @dasiro • 5 september 2021 15:37

Zo simpel is dat niet, er zullen ongetwijfeld clausules in het contracten staan welke dit dekken, contracten waar de gemeente over onderhandeld zal hebben en mee akkoord is gegaan.

Super_Fred @D4NG3R • 5 september 2021 18:29

Sterker nog: in contracten is vaak vastgelegd dat ze alleen voor directe schade aansprakelijk gesteld kunnen worden, aangezien bedrijfsaansprakelijkheidsverzekeringen daar ook van uitgaan. Bijna alle echte schade is indirect.

Arnoud Engelfriet

Politiek en recht

@Super_Fred • 6 september 2021 08:36

Klopt, hoewel we het hier over beroepsaansprakelijkheid hebben. Bedrijfsaansprakelijkheid is schade aan zaken en personen. Dit gaat over vermogensschade en immateriële schade.

Belangrijkste: volgens de AVG is je aansprakelijkheid naar betrokkenen toe dwingend, dus je kunt dat in een contract niet uitsluiten of beperken. Tussen verantwoordelijke en verwerker kan dat wel, maar dat is dus de vraag wie de schade van de betrokkenen moet dekken, de betrokkenen hebben daar geen last van. Die kiezen gewoon wie ze aansprakelijk stellen.

(Bij een verwerker is alleen te halen wat die zelf fout deed, bij de verantwoordelijke alles. Maar als het datalek 100% door de verwerker komt, dan maakt dat natuurlijk niet uit.)

rik86 @Super_Fred • 5 september 2021 19:23

En steeds vaker schuiven rechters zulke voorwaarden van tafel met het argument “je schakelt een expert in, dus als expert zijnde ben je ook aansprakelijk en kan je dat niet zo makkelijk van je afschuiven via de algemene voorwaarden”

Zynth @rik86 • 5 september 2021 20:27

Toch zullen ze niet snel een rechtzaak aanspannen. Er moet namelijk wel een partner overblijven die kundig is, en daarna nog met ze wil samenwerken.

Cybertinus994 @Zynth • 6 september 2021 07:11

De samenwerking met de externe leverancier is al stopgezet. Ze hoeven zich dus geen zorgen te maken over hoe een toekomstige relatie eruit gaat zien, want die is er niet.
En als 2 organisaties met ruzie uit elkaar gaan, is een rechtszaak geen hele rare vervolgstap

orvintax @rik86 • 5 september 2021 21:01

Dat vind ik eigenlijk best wel misselijk. Als externe partij ga je dan politie agent moet spelen bij je eigen klanten.

Blokker_1999

Hackers
Politiek en recht
Overheid
Hack
Beveiliging en antivirus
Nederland

@D4NG3R • 5 september 2021 16:47

Net zoals er clausules in kunnen staan die hen net wel expliciet aansprakelijk stellen. Zonder de overeenkomst te kunnen inzien kan je daar geen uitspraak over doen.

D4NG3R @Blokker_1999 • 5 september 2021 17:38

Exact waarom ik aangeef dat het niet zo simpel zit.

Groningerkoek @dasiro • 5 september 2021 16:29

Als werknemer stel je die partij aansprakelijk met wie jij een overeenkomst hebt en aan wie jij je gegevens af hebt dienen te geven. Dat de provincie er dan voor kiest om dit elders onder te brengen zoekt de province dan maar weer met die 3e partij uit. Stel je voor dat de Provincie kiest voor een Partij uit Zimbabwe, moet je dan als werknemer je recht zien te halen in Zimbabwe?

janbaarda @Groningerkoek • 5 september 2021 16:44

Goede zet van de Provincie. Er zijn al genoeg rechtszaken in dit land. Het lijkt er soms op dat niks meer in goede gemoede kan worden opgelost. Hopelijk nemen we de Amerikaanse claimcultuur niet over.

iew @janbaarda • 8 september 2021 20:54

Hopelijk nemen we de Amerikaanse claimcultuur niet over.

Nederland loopt gemiddeld 3 tot 5 jaar achter op de VS en dan neemt Nederland het gewoon weer over, zo gaat dat al vele vele tientallen jaren.
Tijdens het EU referendum liep Frans Timmermans ook constant te bléren dat Nederland het New York van Europa moest worden, en laat dat nu ook precies de favoriete stad van Rutte zijn...

Dus maak je maar geen illusies, we moeten echt van dat (neo) liberale ikke ikke af.
Helaas slikken de Hollanders alles, gedwee bang volk, ik schaam me om Nederlander te zijn.

janbaarda @iew • 9 september 2021 01:41

Als je een paar keer in de VS bent geweest weet je dat het op het gebied van technische toepassingen een tamelijk achtergebleven land is. Buiten de grote steden heb je nauwelijks dekking voor mobieltjes, de elektriciteitsvoorziening hangt met losse touwtjes (letterlijk) aan elkaar.

Wij verkijken ons hier op de uitzonderingen. Feit is dat veel technische innovaties van Silicon Valley hier sneller gemeengoed zijn dan in de VS. De "claimcultuur" is voornamelijk het gevolg van het Angelsaksische wetssysteem en wordt uitgebuit door mensen die vooral niet verantwoordelijk voor de gevolgen van eigen handelen willen zijn.

Dus maak je maar geen illusies, we moeten echt van dat (neo) liberale ikke ikke af.

Hier ben ik het hartgrondig mee eens. Mensen moeten weer gaan nadenken en hun eigen verantwoordelijkheid, ook ten opzichte van de samenleving, weer nemen. Overigens blijf ik een optimist en heb vertrouwen in het praktische karakter van de Nederlandse bevolking.

Orangelights23 @dasiro • 5 september 2021 16:05

Waarom? Los van het feit dat die externe partij zijn zaken niet op orde had, heeft de provincie Gelderland het stukje leveranciersmanagement niet onder controle. Het is natuurlijk niet meer van deze tijd dat je blind aanneemt wat de externe IT’ers doen en dat zelf niet toetsen.

Flagg @Orangelights23 • 6 september 2021 07:17

Dus dan moet je een expert in de arm nemen die de expert controleert die je in de arm hebt genomen. Maar wie controleert de expert die de expert controleert?

Want als organisaties zelf de kennis hadden om te controleren hadden ze niet in hoeven huren.

En ik heb geen enkel idee wat leveranciersmanagement is overigens.

Orangelights23 @Flagg • 6 september 2021 09:55

Er zijn genoeg manieren te vinden. Naast het uitvoeren bij audits bij externe partijen, kan je hun geleverde werk ook toetsen in de vorm van pentesten. En wissel juist maar af tussen de uitvoerders van de pentesters.

Leveranciersmanagement binnen de informatiebeveiliging is het controleren van je leveranciers of zij voldoen aan de eisen die jij als organisatie stelt binnen informatiebeveiliging. Net als dat je wilt controleren of de leverancier waar je al jaren gebruik van maakt wel te vertrouwen is, moet dat ook binnen de IT gebeuren. Ik heb aardig wat jaren gewerkt als pentester en zit nu aan de andere kant, als je weet wat voor bad-practices grote IT-instanties erop na houden, is je een hoedje schrikken een understatement.

Ayporos @Orangelights23 • 5 september 2021 21:18

Dat die externe partij gehackt is betekent niet automatisch dat ze hun 'zaken niet op orde hadden'.

IT security is vrij complex, en een heel vak an sich.
De 'beste' security experts zijn diegene die niks anders doen dan vulnerabilities opzoeken, bijhouden, onderzoeken en exploiten.
Iemand wiens full time 'beroep' is om dit te doen (een criminele hacker) kan wel degelijk meer kennis hebben dan een willekeurige 'security expert' van een IT bedrijf wiens primaire doel NIET is om data/systeem security integriteit te waarborgen maar om daadwerkelijk zo een systeem op te leveren.

Het is maar net waar je 'core business' om te doen is.. en de core business van een IT bedrijf (buiten misschien een anti-virus maker of zo) is NIET om security te waarborgen, maar om IT oplossingen op te leveren.. waar security slechts een onderdeel van is op de features lijst en vaak NIET de core functionaliteit.

[Reactie gewijzigd door Ayporos op 23 juli 2024 15:05]

Orangelights23 @Ayporos • 6 september 2021 09:53

Ik weet het, ik werk binnen de cybersecurity. Bovenstaand verhaal ontslaat de provincie niet om uitvoerig pentesten uit te laten voeren.

P_Tingen @HSG • 6 september 2021 08:33

Lees deze reactie van @Ayporos even. Die beantwoordt jouw post.

HSG @P_Tingen • 6 september 2021 11:18

Stel je voor dat ik als klant jouw betaal om mijn IT-landschap aan jou over te laten en dit gebeurt...wat moet ik dan over jou gaan denken?

P_Tingen @HSG • 6 september 2021 12:52

Per definitie heb je je zaken niet goed genoeg op orde wanneer je gehacked wordt.
Als je dat wel had, dan was je niet gehacked. Zo simpel ligt het.

Maar er zijn nuances. Als iemand bij mij inbreekt dan was mijn huis niet goed genoeg beveiligd. En als ik je dan vertel dat ik zes sloten op de deur had, een balk ervoor en een pitbull erachter en er blijkt tóch ingebroken te zijn? Ook dan had ik mijn huis niet goed genoeg genoeg beveiligd want: er /is/ ingebroken. Had ik redelijkerwijs meer moeten doen? Nee, waarschijnlijk niet. Zes sloten, een balk en een pitbull moet normaal gesproken genoeg zijn.

Dus de conclusie dat je waardeloos bent wanneer je als IT leverancier gehacked wordt, is te kort door de bocht. Het zou kunnen dat ze er alles aan gedaan hebben wat je kan verwachten. Als het komt door verwijtbaar gedrag van de leverancier, ja dan ben ik het met je eens.

[Reactie gewijzigd door P_Tingen op 23 juli 2024 15:05]

Verwijderd @5V1NA70G • 5 september 2021 15:22

Ja, alleen die boete is belastinggeld van de burger 🙈

fre0n @Verwijderd • 5 september 2021 17:13

Het betalen van de kosten voor de nieuwe paspoorten wat ze nu doen ook

Dream800 @fre0n • 5 september 2021 22:03

Het geld is niet het probleem van de provincie Gelderland.De provincie heeft veel eigen vermogen.

marktweakt @5V1NA70G • 6 september 2021 15:13

In theorie heb je gelijk dat de provincie aansprakelijk is, maar het grote probleem is dat dit bijna niet is aan te tonen omdat de bewijslast bij de gedupeerde ligt. Causaal verband aantonen (dat de schade het gevolg is van dit datalek) is nagenoeg onmogelijk.

Daarom ben ik ook van mening dat de bewijslast in dit soort gevallen omgedraaid zou moeten worden. De provincie zou moeten aantonen dat de gevolgschade NIET het gevolg is van het datalek en als ze dat niet kunnen dat volgt automatisch aansprakelijkheid.

Ik denk dat een dergelijke omkering van bewijslast er wel eens toe zou kunnen leiden dat instanties nu ook eens echt stappen gaan zetten in hun gegevensbeveiliging i.p.v. de gevolgen op machteloze burgers te blijven afschuiven.

moonlander @wildhagen • 5 september 2021 15:08

Het kost de gemeente niks, wordt toch uiteindelijk weer verhaald op de burgers die het potje met geld toch vullen

dasiro @moonlander • 5 september 2021 15:29

dat is het grote probleem van overheden: zij betalen niets, ze halen het geld desnoods manu militari op bij inwoners of laten de schuld gewoon liggen voor de volgende

niki_lauda @dasiro • 5 september 2021 16:51

Ik neem aan dat deze rekening bij het externe IT bedrijf neer wordt gelegd.

litebyte @niki_lauda • 5 september 2021 17:10

Waarschijnlijk, zolang deze niet kan aantonen dat het 'buiten hun schuld om' is veroorzaakt.

RatedR @niki_lauda • 5 september 2021 17:55

Dikke kans dat contractueel gezien het bedrijf niet aansprakelijk gesteld kan worden voor enige schade boven het gefactureerde bedrag. M.a.w.: in het beste geval krijgen ze hun geld terug. Als dat de schade niet dekt komt de rest toch weer op de belastingbetaler neer.

Timoo.vanEsch @dasiro • 5 september 2021 22:56

Liever een dictatuur dan?
Anarchie?
Technocratie, gerund door multinationals?

dasiro @Timoo.vanEsch • 6 september 2021 12:28

eentje die ervoor zorgt dat de rekening op het einde van hun regeerperiode geen grotere financiële puinhoop achterlaat dan dat ze heeft aangetroffen, wat bij ons in belgië problematische proporties aan het aannemen is (zelfs al voor corona)

Faxinator @wildhagen • 5 september 2021 16:01

kost het ze 1400x € 74.77

Dat kost ze natuurlijk slechts een paar tientjes aangezien het overgrote gedeelte van die €74.77 gebakken lucht zal zijn.
Verder is dit wel het minste dat je kan doen als je zelf mensen in gevaar brengt.

bytemaster460 @Faxinator • 5 september 2021 17:23

Dat het allemaal overheid is betekent niet dat het allemaal uit één grote pot komt. Als de provincie ervoor moet opdraaien betekent dat de provincie die ton gewoon niet kan besteden aan zaken waar de provincie verantwoordelijk voor is.

Faxinator @bytemaster460 • 5 september 2021 17:48

Het gaat helemaal niet om een ton.. De administratie aanpassen en wat kaartjes drukken kan nooit meer kosten dan 1-2k. Dat ze hier normaal gesproken een rib uit je lijf voor vragen maakt niet dat de kosten ineens torenhoog zijn

bytemaster460 @Faxinator • 5 september 2021 18:00

het kan wel zijn dat de kostprijs voor de gemeente een stuk lager is dan de prijs die je aan het loket moet betalen, maar de provincie die de nieuwe paspoorten gaat vergoeden betaalt ze daar gewoon 74,77 voor: de normale prijs voor een paspoort.

[Reactie gewijzigd door bytemaster460 op 23 juli 2024 15:05]

Gorbulas @Faxinator • 5 september 2021 18:57

Een bedrijf drukt die paspoorten. Jij denkt dat ze het uitmaakt waarom de gemeente 74 paspoorten nodig heeft en ze daarom korting geeft/tegen kost weggeeft? Haha..

Faxinator @Gorbulas • 5 september 2021 19:26

Daar pakken ze zelt de winst op als ze enigszins nadenken. En in dit geval is daar geen sprake van en hebben ze alleen wat schade recht te zetten.

SirLenncelot @Faxinator • 5 september 2021 20:55

Volgens mij ziet de provincie helemaal niets van het geld van een paspoort. Dat wordt namelijk door gemeenten zelf geregeld, daarom kan de prijs ook variëren tussen gemeenten, 74,77 is de maximumprijs.

Ik denk niet dat de gemeente bij de provincie bestelt maar bij een landelijk punt. Maar dat is een vermoeden.

Zal gewoon een gevalletje declareren van kosten door ambtenaar zijn.

Faxinator @SirLenncelot • 5 september 2021 21:48

Maakt mij ook vrij weinig uit.. Het ging mij erom dat die 74euro slechts een gevraagd bedrag is en echt helemaal niets met werkelijke kosten te maken heeft.

vrow @Faxinator • 6 september 2021 00:08

De werkelijke kosten liggen inderdaad hoger, kan ik je vertellen, als raadslid in een andere gemeente. Het kaartje kost wellicht aan materiaal niet zoveel, maar er zitten ook manuren is om de aanvraag te doen, het paspoort uit te reiken etc. Een deel van het geld gaat inderdaad naar de 'drukker' van de paspoorten en voor de gemeente blijft er dan niks over en moet er zelfs geld bij.
Los van wat je daarvan vindt, maar dat is wel de werkelijkheid. Een gemeente mag overigens geen winst maken op paspoorten, maar kostendekkend is het dus ook niet.

Gorbulas @Faxinator • 6 september 2021 01:52

Jij denkt dat een bedrijf opzetten wat centraal alle paspoorten produceert, transporteert en beveiligd gratis is? Als jij het goedkoper kan regelen dan 74 euro zou ik zeggen, ga ervoor!

theobril @bytemaster460 • 5 september 2021 17:45

Ne, maar het is ook niet dat de provincie om valt. Wat bij een regulier bedrijf wel zou kunnen. Welk risico loopt de provincie in dezen volgens u, behlave boze mensen omdat een weg hierdoor een jaar later geasfalteerd word? (geen idee of onderhoud van wegen onder de provincie valt, maar hopelijk begrijpt u mijn voorbeeld)

bytemaster460 @theobril • 5 september 2021 17:57

Daar ging het niet om...

theobril @bytemaster460 • 5 september 2021 18:03

"betekent dat de provincie die ton gewoon niet kan besteden aan zaken waar de provincie verantwoordelijk voor is."
We zijn het roerend met elkaar eens. Maar waar exact doet het zeer bij de provincie, deze boete/extra kosten? Geen kerstpakket?

bytemaster460 @theobril • 5 september 2021 18:11

Geen idee, maar het ging erom dat iemand beweerde dat het ze eigenlijk maar een paar tientjes kost. Provincie en gemeente zijn nu eenmaal geen broekzak-vestzak-constructie en dus zal het de provincie een ton kosten en niet een paar tientjes, los van de vraag of de provincie dat voelt.

bart.koppers @wildhagen • 5 september 2021 15:34

Aan netjes valt veel af te dingen. Het is de belastingbetaler die (uiteindelijk en weer) dit soort zaken betaalt.
En “het is maar een tonnetje”? Een ton kan volgens mij veel beter besteed worden (dan aan broekzak-vestzak uitkeringen tussen overheidsdiensten onderling).

Eigenlijk best sneu, om op deze wijze mooi weer te spelen ‘met de centen van een ander’.

(Ik hooreen interview met wat CISO’s op de radio (BNR dacht ik) die van weersomstuit allemaal het publieke domein verlaten. De koers van schepen trachten bij te draaien luisterde daar als behoorlijk frusterend.)

Blokker_1999

Hackers
Politiek en recht
Overheid
Hack
Beveiliging en antivirus
Nederland

@bart.koppers • 5 september 2021 20:09

Wie er uiteindelijk betaald weten we niet. Dat kan de belastingbetaler zijn, dat kan een verzekering zijn, het kan zijn dat de externe partij waarbij de hack plaatsvond aanspakelijk wordt gesteld en voor de kosten moet opdraaien. Er zijn vele opties.

En wat hadden ze anders moeten doen? Mensen moeten oproepen hun paspoort te vernieuwen maar de kosten niet vergoeden? Hoe kom je dan over? Ongeacht wat ze hier doen, ze gaan er altijd slecht uitkomen.

En je mag dan wel weer kritiek geven op de overheid, maar ook jij gaat voorbij aan het feit dat de hack plaats heeft gevonden bij een externe partij.

bart.koppers @Blokker_1999 • 5 september 2021 23:23

Zeer interessant wie er betaalt.
Linksom of rechtsom is dat bij dit soort lumpsum/budgetgedreven organisaties, zoals een overheid, nu eenmaal de afnemer (burger).
Of dacht je dat als een verzekeraar die moet uitkeren, haar premie gelijk houdt?
Meeste overheid heeft overigens geen verzekering (want te groot en zie boven)
En "wel weer kritiek" - ach, dat valt wel mee....oh nee :):

vele overheden hebben aantoonbaar zaken niet op orde.
verwachten wel dat klanten (burgers) dat wel hebben (bv door elektronisch "handelen" af te dwingen.
en als misgaat betaalt de burger (linksom of rechtsom) toch
er is daarmee weinig kracht en dwang tot verbetering

Je gaat het pas zien als je het doorhebt.

SuperDre

Hackers

@wildhagen • 5 september 2021 16:46

Nouja, de financiering van het vervamgen wordt gewoon met zuur betaalde belastingcenten gefinancieerd, dus ik vind dat het e provincie helemaal niet positief hier mee over komt (natuurlijk wel fijn voor de werknemers).

Gladiator5 @wildhagen • 5 september 2021 17:01

Ik vind het niet meer dan normaal.

Draai het eens om. Jou id/paspoort gegevens worden gestolen vanuit een gemeente server. Zij zijn verplicht deze gegevens te waarborgen.
Zij raden aan een ander paspoort te nemen, en dat zou je dan zelf nog moeten betalen?

Gekke werk.

theduke1989 @wildhagen • 5 september 2021 18:36

dat is toch wel het minste wat een overheid kan doen als je bewoners getroffen zijn door zo'n hack. En achteraf is het toch de belastingbetaler die het voor je betaald maak je maar niet druk.

Het beste is om dit richting de IT bedrijf door te sturen de gevraagde kosten van 74,77 per gebruiker.

musiman

@wildhagen • 5 september 2021 19:02

Ik vind dat helemaal niet netjes. Ik vind dat de medewerkers verplicht moeten worden om een nieuw papoort aan te vragen. Nu is het facultatief, waardoor de gestolen gegevens nog steeds een waarde hebben.

bvloon @wildhagen • 5 september 2021 20:11

"dat valt voor een provincie nog wel te overzien." - Mag ik u er op wijzen dat dat uw en mijn belastinggeld is ...

laptopleon @bvloon • 6 september 2021 12:02

Begrijpt u ook dat dit veel goedkoper is dan het alternatief? Alleen al de uren die het politie en justitie kosten als zo’n paspoortkopie leidt tot één identiteitsdiefstal, kosten al gauw duizenden euro’s.

En dan hebben we het nog niet over andere benadeelden zoals dat er bijvoorbeeld een bank een lening verstrekt op basis van zo’n gestolen identiteit – want de identiteit stelen is uiteraard nooit het doel op zich.

Als een financier of ander bedrijf voor een x bedrag per jaar schade heeft hierdoor, betalen de andere klanten dat uiteindelijk, links- of rechtsom.

Dus ja, het is belastinggeld en goed besteed.

PizZa_CalZone @wildhagen • 5 september 2021 20:21

Ik heb me altijd al afgevraagd waarom een paspoort zoveel geld moet kosten, vroeger was het slechts een stukkie papier, nu zit er ook nog een harde laag plastic in met wat rfid rommel. Ik heb altijd al het vermoeden gehad dat ze winst maken op al die paspoorten en rijbewijzen. Het zal ze intern echt geen 75 euro per paspoort kosten zou je denken. Maargoed, in theorie mogen ze geen winst draaien toch?

laptopleon @PizZa_CalZone • 6 september 2021 12:19

Ik weet niet hoe lang geleden ‘vroeger’ is in dit geval, maar paspoorten zijn al decennia beveiligd met bijzondere kenmerken, techieken en materialen.

Het is juist het tegenovergestelde van ‘slechts een stukkie papier’. Er zijn bijvoorbeeld reliëf, moeilijk te imiteren perforaties in de vorm van je pasfoto of bsn gemaakt.

Het kost waarschijnlijk al twee tientjes aan ambtenaren die je dagelijks achter de balie hebt zitten en een gemeentehuis is ook niet gratis. Dat die niet 8 uur per dag paspoorten zitten te controleren, maken en uitgeven betekent nog niet dat je ze niet hoeft te betalen.

GekkePrutser @wildhagen • 5 september 2021 22:14

Die 74,77 is overigens niet wat de gemeente er zelf voor betaalt, de meesten maken er ook nog eens winst op

(Edit of is het nu een standaard prijs aangezien iederen dezelfde prijs aanhaalt?)

En als je in het buitenland woont, betaal je ongeveer het dubbele zelfs. Plus vaak een dure reis naar de hoofdstad als je daar niet woont, omdat bijna alle consulaten zijn gesloten vanwege bezuinigingen.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 15:05]

Guru Evi @wildhagen • 6 september 2021 05:58

Aan een kant misschien wel, aan de andere kant, als je dit aanneemt is het ook mogelijk dat je juridisch gezien dit aanneemt als de schadevergoeding en dat je dan in de toekomst geen verdere schadevergoeding kan opvragen.

Vooral omdat ze er geen verzekering tegen identiteitsdiefstal bijleggen voor een jaar of twee denk ik dat ze er “goedkoop” vanaf willen. Een paspoort kost eigenlijk tweemaal niets om te printen (papier en chips, misschien 15 euro waard, zeker geen 75/stuk)

Altijd oppassen met deze soort praktijken, ze rekenen dat ze sowieso de rechtszaak verliezen en de schade moeten betalen, maar door zulke “vrijwillige” kosten beperken ze het aantal mensen, ofwel vanwege de “overeenkomst” die eraan hangt of simpelweg minder mensen die geïnteresseerd in een zaak aan te spannen en dus ook de draagkracht van een advocatenkantoor om slachtoffers verder te helpen.

Stromboli @wildhagen • 6 september 2021 10:35

Vind ik netjes van de provincie, dat zij de kosten op zich nemen.

Lees: dat zij die kosten afwenden op de belastingbetaler. Het is niet alsof er nu iemand bij de provincie extra hard moet werken om al dat geld weer terug te verdienen.

fastedje @wildhagen • 6 september 2021 12:42

Ik vraag me af wat de echte kosten zijn van een nieuw paspoort. De overheid zal wel wat extra kosten doorberekenen als verkapte belasting. Het zou ook nog veel ongepaster zijn om de slachtoffers van de hack deze extra belasting te laten betalen.

dasiro 5 september 2021 15:35

wat voor gegevens kunnen ze dan wel in handen hebben die enkel door een nieuw paspoort niet meer bruikbaar zijn? Dat zou dan al een private key moeten zijn die op de chip is opgeslagen, moest er in nederland ook met een eid gewerkt worden zoals in België en dat soort gegevens kan je niet zomaar ervan af halen

bytemaster460 @dasiro • 5 september 2021 15:47

Het gaat erom dat de identiteitsbewijzen die zijn gelekt ongeldig worden verklaard zodat niemand zich meer ermee kan legitimeren.

SuperDre

Hackers

@bytemaster460 • 5 september 2021 16:50

Niemand meer mee kan legitimeren? Ja je kunt het niet meer gebruiken op plekken waar het nummer door bv de marechausee in een systeem van de overheid wordt ingevoerd zoals bij een luchthaven checkpoint, maar anders is het overal nog gewoon te gebruiken, want het komt pas naar boven als er iets aan de hand is en onderzoek gedaan wordt.

bytemaster460 @SuperDre • 5 september 2021 17:09

Nee, bij heel veel zaken kun je het niet meer gebruiken. Legitimatie voor bankzaken, verzekeringszaken, uitkeringen, toeslagen, boeken van vluchten en nog vele andere zaken waarbij je een (afgedekte) kopie van je ID-bewijs moet insturen of waarbij je het documentnummer moet invullen.

SuperDre

Hackers

@bytemaster460 • 5 september 2021 17:25

Maar zodra er een afgedekte kopie moet worden getoond dan zijn de betreffende nummers ook niet zichtbaar.

bytemaster460 @SuperDre • 5 september 2021 17:28

Foto en BSN mag je meestal afdekken. Het documentnummer juist niet omdat daarmee de check tegen de centrale registratie uitgevoerd wordt...

jdh009

Politiek en recht

@bytemaster460 • 5 september 2021 18:22

De BSN mag door de werkgever toch gebruikt worden in het kader van de loonbelasting? In dit geval is afdekken dus volgens mij niet voldoende, gezien die waarschijnlijk gewoon zichtbaar getoond wordt.

Welke organisaties mogen een kopie van mijn identiteitsbewijs maken?
Slechts enkele organisaties mogen een kopie van uw identiteitsbewijs maken. Uw werkgever en banken mogen dit bijvoorbeeld. In de praktijk vragen ook andere organisaties een kopie van uw legitimatiebewijs. U bent niet verplicht om die aan hen te geven. Voor sommige is registratie van enkele gegevens voldoende.

Kopie identiteitsbewijs
Slechts enkele organisaties mogen om een kopie van uw ID- bewijs vragen. Dit zijn bijvoorbeeld:
overheidsinstanties
banken
notarissen
casino’s
levensverzekeraars
uw werkgever

Bron: Rijksoverheid
Edit: Opmaak netter gemaakt.

[Reactie gewijzigd door jdh009 op 23 juli 2024 15:05]

bytemaster460 @jdh009 • 5 september 2021 19:27

Daarom zeg ik meestal... Het ging er nu even over dat het documentnummer een belangrijk gegeven is in het identificatieproces en dat mag juist NIET worden afgedekt. Daarom is een afgedekte kopie nog steeds een bron van fraude bij de instanties die jij hierboven noemt en moeten die paspoorten dus vervangen worden.

laptopleon @jdh009 • 6 september 2021 12:25

De BSN mag door de werkgever toch gebruikt worden in het kader van de loonbelasting?

De ambtenaren wiens kopie paspoort gestolen is, vinden het vast niet erg als je namens hen loonbelasting betaalt

[Reactie gewijzigd door laptopleon op 23 juli 2024 15:05]

wildhagen

Hackers
Overheid
Nederland
Politiek en recht
Beveiliging en antivirus

@dasiro • 5 september 2021 15:51

Het nummer van je paspoort bijvoorbeeld. Dat geef je soms ook op, en elk paspoort heeft een uniek nummer dat uit 9 tekens bestaat.

Vraag je een nieuw paspoort aan, heb je dus ook een nieuw nummer en kan het oude nummer niet meer worden gebruikt.

[Reactie gewijzigd door wildhagen op 23 juli 2024 15:05]

dasiro @wildhagen • 5 september 2021 16:13

dat klinkt als een archaïsche private key. Elk land zal zo wel zijn eigen unieke manier van werken hebben die niet zomaar kan worden uitgerangeerd. Ik ken tal van voorbeelden waar plaatsen waar ze een kopie van je paspoort maakten om bvb iets te huren, dan ben je die gegevens toch ook al kwijt?

Ilmar @dasiro • 5 september 2021 16:45

Zoals het artikel vermeld is het ook niet om fraude te voorkomen, maar om (achteraf) aan te kunnen tonen dat het vals gebruik was.

Stel iemand sluit een telefoonabonnement af op jouw naam met een kopie uit de hack: dan heb je een lastig verhaal uit te leggen dat jij het niet was. Maar blijkt bij nader onderzoek die kopie van een reeds ongeldig paspoortnummer te zijn, dan heb je hard bewijs dat jij dat abonnement niet afgesloten hebt ( en zou de provider betere identificatie-maatregelen moeten nemen).

Blokker_1999

Hackers
Politiek en recht
Overheid
Hack
Beveiliging en antivirus
Nederland

@wildhagen • 5 september 2021 20:12

Als ik me niet vergis is het wel mogelijk om een duplicaat paspoort aan te vragen en heb je er dan twee met hetzelfde nummer. Zinloos in dit geval natuurlijk. Maar dat kan gebruikt worden wanneer je naar een land reist dat je een inreisverbod zou geven als je in een ander bepaald land bent geweest. Zo kan je die 2 gescheiden houden in je paspoorten. Israel is zo een land waar je niet in mag als je bepaalde andere landen in de regio bezocht hebt.

laptopleon @Blokker_1999 • 6 september 2021 12:36

Je kan in Nederland geen twee paspoorten krijgen tegelijkertijd en al helemaal niet met hetzelfde nummer.

VS deed in het verleden wel eens extra goed doorvragen als je als Nederlander in Cuba was geweest, en je mag als Amerikaan niet naar Cuba vliegen (haha) maar je echt weigeren gebeurt bijna nergens. Amerikanen vliegen dan gewoon via Mexico of Canada naar Cuba.

Oplossing qua paspoort is simpel: Je hoeft in Cuba je paspoort niet verplicht af te laten stempelen.

ocwil @dasiro • 5 september 2021 15:48

Voor sommige zaken heb je het document nummer van je Paspoort/ID nodig, door een nieuw paspoort aan te vragen en de oude aan te merken als gestolen kan het oude nummer dus niet meer gebruikt worden.

SuperDre

Hackers

@ocwil • 5 september 2021 16:50

Dat zijn wel hele sommige zaken dus.

R4gnax @SuperDre • 5 september 2021 18:58

Dat zijn wel hele sommige zaken dus.

Praktisch alle zaken waar het een partij betreft die ook daadwerkelijk gerechtigd is om de nationale identiteitsbewijzen te verwerken. Banken, verzekeraars, etc. moeten zich hierbij allemaal aan een set protcollen houden waaronder het moeten checken v/h documentnummer tegen de centrale registratie.

Verwerkers die deze controles niet uitvoeren zijn ook heel vaak verwerkers die überhaupt wettelijk niet gemachtigd zijn om deze bewijzen te mogen verwerken. Hoteliers die toch om een volledige kopie paspoort vragen, bijv. Of een bedrijf als Google wat een pristine - ongewaarmerkte; ongecensureerde, volledig zichtbare - kopie identiteitsbewijs vereist voor bijv. leeftijdscontrole. Of Blizzard, die er bij account-recovery om vraagt. Etc.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

DeArmeStudent 5 september 2021 16:58

Maar wat doen persoonlijke gegevens, vooral die op het paspoort staan, in handen van een extern-it bedrijf???

En hebben al deze medewerkers hier toestemming voor gegeven. Leuk dat de overheid zomaar van duizenden personen de persoonlijke gegevens deelt met derden, voordat er toestemming gevraagd voor gevraagd wordt.

bytemaster460 @DeArmeStudent • 5 september 2021 17:27

Dat mag binnen de AVG gewoon, via een verwerkersovereenkomst.

Verwijderd @bytemaster460 • 5 september 2021 20:58

Dat mag binnen de AVG gewoon, via een verwerkersovereenkomst.

Dat vraag ik mij af.

Ja, de werkgever moet voor o.a. de arbeidsinpectie en de belastingdienst beschikken over een kopie van een identiteitsbewijs van elke werknemer. Er bestaat echter geen enkele noodzaak om die kopiën in, voor het personeel toegankelijke, personeelsdossiers "in de cloud" op te nemen; dergelijke documenten kunnen prima bij personeelszaken in een kluis.

Immers, in tegenstelling tot hun loonstroken, jaaropgaven en eventueel andere door de werkgever verstrekte informatie, bestaat er voor medewerkers geen fundamentele noodzaak om een kopie van hun eigen identiteitsbewijs te kunnen inzien of te downloaden. Dus gaat het hier om een onnodig risico voor werknemers.

Overigens vind ik het opmerkelijk en onverstandig als de arbeidsinspectie, de belastingdienst en de politie het accepteren dat digitale kopiën van identiteitsbewijzen van personeel uitsluitend in (klaarblijkelijk niet altijd voldoende beveiligde) cloudopslag worden bewaard. Dat zou fraude daarmee wel eens eenvoudiger kunnen maken dan wanneer die kopiën door de werkgever in een kluis worden bewaard; naast dat confidentialiteit in het belang is van de werknemers, zijn integriteit en beschikbaarheid immers in het belang van opsporingsdiensten.

Denkbaar is namelijk dat een werkgever m.b.v. "sjoemelsoftware" andere kopiën kan tonen afhankelijk van wie daarom vraagt, of dat t.g.v. configuratiefouten medewerkers hun "kopietje-paspoort" door een gemanipuleerd exemplaar kunnen vervangen.

bytemaster460 @Verwijderd • 5 september 2021 21:50

Je doet allerlei aannames over dit voorval terwijl die helemaal niet bekend zijn gemaakt en vervolgens concludeer je dat dat niet acceptabel is. @R4gnax legt het hierboven prima uit.

Verwijderd @bytemaster460 • 6 september 2021 00:12

Je doet allerlei aannames over dit voorval terwijl die helemaal niet bekend zijn gemaakt en vervolgens concludeer je dat dat niet acceptabel is.

? Heb ik op tenen getrapt ofzo?

De enige aanname die ik doe (tot "Overigens..." waarin ik in ga op risico's voor opsporingsdiensten, niet het AVG-aspect) is dat scans van paspoorten tot de gelekte gegevens behoren - met als (gepubliceerd) gevolg dat provincieambtenaren op kosten van de provincie een nieuw paspoort mogen aanvragen.

Gegeven dat ik, eenmaal als security officer, twee voormalige werkgevers heb verzocht om te stoppen met het opnemen van scans van identiteitsbewijzen, niet alleen die van mijzelf, in (voor werknemers toegankelijke) cloudopslag, en twee verschillende HR cloudsoftware providers hier expliciet de mogelijkheid voor boden, lijkt mij dit geen onlogische aanname. Ook kan ik op internet HR cloudsoftware providers vinden die deze mogelijkheid expliciet aanbieden.

Bovendien, nergens in mijn vorige bijdrage schreef ik dat dit onacceptabel is; ik zie alleen de noodzaak ervoor niet, waardoor het een onnodig risico voor werknemers vormt. En daarom vraag ik mij af of dit conform de AVG is - wat jij claimde en waar ik op reageerde.

bytemaster460 @Verwijderd • 6 september 2021 08:47

Ik ben niet op de tenen getrapt maar ik vind dat jij wel erg veel details bekritiseert die helemaal nergens bekend zijn gemaakt. Ik zie dat als aannames.
Daarnaast claimde ik niet dat dit volgens de AVG is gegaan. Ik gaf enkel aan dat het opslaan van persoonsgegevens bij een derde partij binnen de AVG gewoon mogelijk is. Of dat in dit geval goed geregeld was kan ik niet beoordelen.

R4gnax @bytemaster460 • 6 september 2021 10:15

Het is speculeren of het hier bij dit specifieke geval ook zo heeft plaatsgevonden, maar ErikVanStraten heeft een paar goede punten in algemene zin.

Ik vraag me eigenlijk ook wel af of het digitaal opslaan van paspoortgegevens 'in de cloud' door de beugel kan of niet. Gezien het ontbreken van noodzaak in algemene zin, zou je denken dat dat haaks op de data-minimalisatie principes staat - specifieke situaties daargelaten.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

bytemaster460 @R4gnax • 6 september 2021 10:21

Maar die cloud is al pure speculatie. Dat staat helemaal nergens. Zover ik begrepen heb is het externe bedrijf een DMS of CMS aan het optuigen voor de provincie. Dan kunnen er allerlei scenario's mogelijk zijn: een cloud, maar ook een tijdelijke situatie die enkel voor de implementatie bestaat.

R4gnax @bytemaster460 • 6 september 2021 10:33

Daarom schrijf ik ook dat het los van de huidige situatie een goede vraag is.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

Verwijderd @bytemaster460 • 6 september 2021 10:56

Maar die cloud is al pure speculatie. Dat staat helemaal nergens.

Uit dit artikel in de Gelderlander:
"[...]
Onlangs werd bekend dat Gelderland midden augustus slachtoffer was van een mogelijke hack bij een extern ICT-bedrijf uit Noord-Brabant, dat bezig was de personeelsdossiers toegankelijk te maken voor provinciemedewerkers.
[...]"

(Ik had gisteren "voorkennis", ik heb dit al op 30 augustus gelezen).

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:05]

bytemaster460 @Verwijderd • 6 september 2021 11:02

Dat hoeft geen cloud te zijn. Wij hebben ook een keer een hele berg data aan een externe leverancier gegeven om diezelfde data voor ons beschikbaar te maken. Die is er toen een maand mee bezig geweest en was toen klaar. Allemaal AVG-proof en geen cloud.

Verwijderd @bytemaster460 • 6 september 2021 11:22

Dat hoeft geen cloud te zijn. Wij hebben ook een keer een hele berg data aan een externe leverancier gegeven om diezelfde data voor ons beschikbaar te maken. Die is er toen een maand mee bezig geweest en was toen klaar. Allemaal AVG-proof en geen cloud.

Man man man.

Ook in dat geval bestaat er voor jou geen noodzaak dat daar een scan van jouw identiteitsbewijs tussenzit, waarvan onze wetgever eist daar werkgevers daar zorgvuldig mee omgespringen (o.a. om het risico op identiteitsfraude te beperken).

Dus is het een onnodig risico voor jou (en in dit specifieke provinciegeval ook voor belastingbetalers) als jouw werkgever een kopie of een scan van jouw identiteitsbewijs aan een derde partij geeft "om diezelfde data voor jou beschikbaar te maken".

Ik vermoed dat deze handelswijze helemaal niet "AVG-proof" is.

bytemaster460 @Verwijderd • 6 september 2021 11:29

Je maakt eigen regels op basis van verontwaardiging. Het is prima mogelijk om dit AVG-proof te regelen.

R4gnax @bytemaster460 • 5 september 2021 19:14

Dat mag binnen de AVG gewoon, via een verwerkersovereenkomst.

Niet zomaar.
Het nationale identiteitsbewijs bestaat uit een collectie persoonsgegevens waaronder uit de categorie bijzondere persoonsgegevens. Hierom zal een verwerking van zo'n bewijs aan verzwaarde eisen moeten voldoen.

Zo is het bij het bulk-verwerken van bijzondere persoonsgegevens verplicht om een effectbeoordeling (impact assessment) uit te voeren en is het de verwerkingsverantwoordelijke verplicht in voorkomend geval als onderdeel van deze beoordeling ook de voorgenomen verwerkingen voor te leggen aan de betrokkenen en hen om hun mening te vragen.

Mocht uit deze beoordeling komen dat het de verwerking van gegevens met een hoog risico betreft indien er onvoldoende beveiliging of andere waarborgen aanwezig zouden zijn - dwz een groot risico op misbruik met evt. ook verreikende gevolgen als de gegevens uitlekken - dan is men ook verplicht om voorafgaand aan het implementeren van de beoogde verwerkingen, de aangestelde toezichthoudende autoriteit te raadplegen. (En dat zou in het geval van verwerking van bijv. paspoortgegevens eigenlijk altijd zo moeten zijn, zou je toch wel denken.)

Of om het kort te houden:
Nee; je moet vaak wel iets verder gaan dan het hebben afgesloten van een simpele verwerkersovereenkomst, wil je bij het verwerken van dit soort gegevens je zaakjes volgens de wet op orde hebben.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

bytemaster460 @R4gnax • 5 september 2021 19:28

Klopt, maar je hoeft dus als burger geen toestemming te hebben verleend om het bij een 3e partij onder te brengen. Dat werd hierboven beweerd.

R4gnax @bytemaster460 • 6 september 2021 10:08

Klopt, maar je hoeft dus als burger geen toestemming te hebben verleend om het bij een 3e partij onder te brengen. Dat werd hierboven beweerd.

Nou ja - Indirect is de mogelijkheid er wel voor de betrokkenen om een rem op de zaak te zetten.

In een geval als dit ben je waarschijnlijk verplicht de verwerkingsplannen ook voor te leggen aan de betrokkenen en hun mening te verwerken in de effectbeoordeling. Als zij overwegend te kennen geven dit als risicovol te ervaren, zul je met je plannen langs de AP moeten - en zij zouden je wel eens terug kunnen fluiten mbt de 3e partij die je van plan was de gegevens te laten verwerken.

Het is inderdaad wel een long shot; dat ben ik met je eens.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

bytemaster460 @R4gnax • 6 september 2021 10:16

In een soortgelijk geval hebben wij zelf de AP ingelicht over hoe we het geregeld hebben en daar akkoord op gekregen. Er hoefden geen toestemmingen van de individuele mensen verzameld te worden.

R4gnax @bytemaster460 • 6 september 2021 10:31

Oh; ik bedoelde niet dat je uiteindelijk dan toch nog toestemming moet gaan verzamelen. Je zou in zo'n geval enkel de mening van betrokkenen in de effectbeoordeling mee gaan verwerken - waardoor het uiteindelijk zo kan zijn, dat je de voorgenomen plannen bij moet stellen. Dat kan via een aangekondigde open consultatie; via steekproeven; etc. Je hoeft dan echt niet bij elk persoon individueel aan te gaan kloppen, en het is ook zeker geen vorm van veto. De kans is dan ook klein dat het echt tot afblazen van de voorgenomen verwerkingen zou leiden. Hoogstens tot wat extra waarborgen hier of daar, lijkt me. De soep wordt niet zo heet gegeten als ze wordt opgediend; etc.

Mooi dat jullie bij een soortgelijk geval proactief zelf contact met de AP hebben gelegd. Gewoon bij twijfel voorleggen; dan weet je het zeker.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

Verwijderd @DeArmeStudent • 6 september 2021 12:36

Maar wat doen persoonlijke gegevens, vooral die op het paspoort staan, in handen van een extern-it bedrijf???

Precies.

Het verwerken van volledige kopiën of scans van identiteitsbewijzen is alleen toegestaan als daar de juiste grondslag voor bestaat, omdat uit een pasfoto o.a. het ras kan worden afgeleid: "Een verwerking van persoonsgegevens betreffende iemands ras is in beginsel bij wet verboden (art. 16 Wbp/art. 9 AVG)".

Het mogelijk maken dat medewerkers in hun eigen personeelsdossier kunnen zien hoe die scan eruit ziet, lijkt mij (ik ben geen jurist), gezien de klaarblijkelijke risico's (in verkeerde handen vallen, identiteitsfraude), onvoldoende grondslag om die gegevens voor dat doel te verwerken en/of te laten verwerken door een derde partij. Immers, een medewerker weet wel hoe diens identiteitsbewijs eruit ziet.

Mijn advies is dat werkgevers de (verplicht in de loonadministratie op te nemen) fotokopiën van identiteitsbewijzen van de eigen werknemers in een fysieke kluis bewaren.

En hebben al deze medewerkers hier toestemming voor gegeven.

Toestemming geven is irrelevant in deze situatie, vanwege de machtsverhouding (afhankelijkheidsrelatie) tussen de werkgever en de werknemer; zo'n toestemming moet vrijelijk zijn gegeven.

Asterion

5 september 2021 14:56

Het gaat toch echt van kwaad naar erger?
Er gaat geen dag voorbij of er wordt een melding gedaan dat er ingebroken is geweest in een systeem.

Komt dit door de nieuwe avg wetgeving of wordt er daadwerkelijk meer systemen gehackt de dag van vandaag?

wildhagen

Hackers
Overheid
Nederland
Politiek en recht
Beveiliging en antivirus

@Asterion • 5 september 2021 15:01

Vroeger gebeurde dit ook hoor, alleen haalde het toen de media niet. Dit is echt niet iets wat alleen de laatste jaren gebeurt.

Ik zit al bijna 23 jaar in de IT, en ook 20 jaar geleden had je al hacks/datalekken. Soms wel op érg knullige manieren ook.

Alleen kwam het toen niet meteen in sociale media, ging niet elke site met het nieuwtje aan de haal, en doordat er geen meldplicht was, bleef het ook vaak onder de pet van het bedrijf waar het lek was, en werden slachtoffers van het lek dus niet eens geinformeerd.

Daoka @wildhagen • 5 september 2021 15:19

Ik verwacht zelf dat het wel wat meer geworden is. Men is er achter gekomen dat data geld is. En met bitcoins is het toch veiliger waard de drempel om het te doen wel iets lager is.

_JGC_ @Daoka • 5 september 2021 16:15

Vroeger lag de focus meer op de hack zelf. Gehackt worden betekende downtime of misbruik van je systemen. Spam versturen of verder hacken vanaf jouw systeem was toen de insteek.
Enkele jaren geleden is de focus op data komen te liggen. Eerst "geef mij bitcoins anders ben je je data kwijt", later dus ook "geef mij bitcoins anders heeft iedereen behalve jij een backup van je data".
Verder is er met de invoering van de AVG een meldplicht. Als je niet met zekerheid kunt aantonen waar iemand geweest is moet je het behandelen en rapporteren als datalek. Vroeger werden dat soort lekken gewoon stilgehouden.

Revolvist @wildhagen • 5 september 2021 15:29

Ik geloof meteen dat dit altijd al gebeurd; systemen waren vroeger denk ik, over het algemeen, minder dichtgetimmerd (maar dat is een kleine gok, ik was er niet bij). Aan de andere kant kan ik wel een paar redenen bedenken waarom er tegenwoordig meer zou worden ingebroken:

- Exploits blijven continu naar voren komen, en iedereen die niet actief (genoeg) bezig is met het bijhouden hiervan, oftewel, elke organisatie die geen goed actief cybersecuritybeleid er op na houdt, is potentieel de sjaak.

- Tegen social engineering valt technisch niet (of moeilijk?) op te boksen, en daarbij aansluitend, er zijn in de afgelopen 20 jaar 4,5 miljard mensen aangesloten op het internet: https://www.internetworldstats.com/emarketing.htm. Dit zal vast voor een grote stijging in het aantal dreigingen hebben gezorgd.

[Reactie gewijzigd door Revolvist op 23 juli 2024 15:05]

Blokker_1999

Hackers
Politiek en recht
Overheid
Hack
Beveiliging en antivirus
Nederland

@wildhagen • 5 september 2021 20:15

En uit ervaring kan ik daarnaast ook zeggen dat vele bedrijven een hack of ransomware netjes uit de media weten te houden. Op de korte tijd dat ik bij mijn huidige werkgever zit heb ik al 2x berichten zien langskomen van klanten die te maken hebben gehad met een inbraak op hun systeem en ook bij mijn vorige werkgever heb ik het voorbij zien komen.

FairPCsPlease @Asterion • 5 september 2021 16:54

Het geeft inderdaad een ontzettend onveilig gevoel, alsof klimaatverandering alleen niet al een ontzettend onveilig gevoel geeft. Ik kan ontzettend somber en angstig worden van dit soort nieuws. Soms vraag ik mij af of ik Tweakers niet beter kan mijden, om niet steeds weer dit soort nieuws over misbruik en afpersing te vernemen.

Veneus

@FairPCsPlease • 6 september 2021 07:34

Je moet maar denken: zolang iets in het nieuws genoemd wordt is het bijzonder en niet de norm.
Oftewel het nieuws heeft het alleen over uitzonderingen, alles wat gangbaar is is niet nieuwswaardig.
Pas als je in het nieuws gaat lezen "computersysteem gevonden dat niet gehackt is" mag je je somber voelen.

Voor de rest. Stel dat iedereen dit soort nieuws gaat mijden, wie leert er dan van de fouten die gemaakt worden.
Door te lezen wat voor fouten anderen gemaakt hebben kunnen wij het beter doen. Zie het als 'gratis' training.

FairPCsPlease @Veneus • 6 september 2021 09:46

Dat is een ware en troostende gedachte: iets is in het nieuws omdat het een uitzondering is. Dank daarvoor.

dakka @Asterion • 5 september 2021 18:01

mix van verbeterde meldplicht, meer media aandacht en beter wordende hackers (het wordt steeds financieel interessanter om dit soort hacks te doen)

Guru Evi @Asterion • 6 september 2021 06:18

Verschillende redenen
1) het wordt alsmaar makkelijker om in te breken. Tegenwoordig koop je gewoon exploits aan op een marktplaats, je voert je slachtoffer in, ze scannen en zeggen welke exploits je nodig hebt, geeft een paar bitcoins en tada

2) complexe systemen worden door minder en minder mensen verzorgd. Tegenwoordig, vooral in de publieke ondernemingen (hospitalen, overheid, scholen) moet er altijd gespaard worden, de eerste die er buiten geknikkerd worden zijn de dure gasten van veiligheid, we zijn toch nooit gehackt en wat we besparen per jaar geven we dan deels uit als er iets gebeurd

3) ja, inderdaad, wetgeving, de wet loopt ongeveer 10-20 jaar na de feiten, dat is “normaal” echter draai je dit door naar verplichtingen dan wordt het gewoon doosjes aanvinken met vragen zoals “heb je NNTP openstaan” en als je overal nee zet, ben je “veilig” verklaard volgens de wetgeving/overheid en heb je dus je werk gedaan en niet langer aansprakelijk. Dit wordt elke dag gekker omdat we nu in principe naar TLS1.3 moeten overschakelen waar de overheidsinstanties dit nog steeds als “experimenteel” documenteren met SSL3/TLS1.0 als de “standaard”. Cloud diensten komen nergens voor en zijn dus wettelijk gezien “veilig”. Nog gekker, de “standaard” legt geen enkele minimum vereisten op, behalve de dingen die we ondertussen weten die niet werken zoals jaarlijks paswoord veranderen met gekke tekens.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 15:05]

laptopleon @Asterion • 6 september 2021 12:47

Ik weet dat vóór de avg ook hele kaartenbakken, inclusief kopieën van identiteitsbewijzen, al dan niet digitaal, bij uitzendbureaus werden gestolen. Die doken dan bijvoorbeeld weer op bij bankfraude.

Fraude is van alle tijden. Wel verschuift de techniek. Veertig jaar geleden was een kopieerapparaat nog duur en zwart/wit. Zelfs 20 jaar geleden maakten uitzendbureau’s altijd lelijke, slechte zwart-wit kopietjes. Nu heb je voor €100 - 300 een multifunctional die een betere kopie maakt en nog in kleur ook.

Gevolg is simpelweg dat alleen een kopietje van een id op zich eigenlijk niets meer zegt. Voor een identificatie schuiven overheden en bedrijven daarom op naar andere technieken. Pasfoto’s moeten niet voor niets aan steeds meer regels voldoen.

William_H 5 september 2021 20:21

En wordt het BSN dan ook vernieuwd?
(Retorische vraag eh, dat gebeurt dus niet)
Want hierdoor ligt de deur wagenwijd open voor identiteitsfraude!
Wanneer gaat met het in NL nu eens leren door de BSN als public key te zien en een private key er achter te hangen. Kan zo ingevoerd worden zonder dat mensen nieuwe ID/paspoorten kaarten hoeft aan te vragen. Slechts een kwestie van een aanpassing aan de databases.
Oei, dat zal nog wel weer moeilijk zijn, maar het is beter dan niks blijven doen.

kodak

Hack
Beveiliging en antivirus
Nederland
Hackers

@William_H • 6 september 2021 08:15

Als je met een bsn kunt frauderen dan is er iets anders mis: dat men de verkeerde gegevens aan het vertrouwen is. Een bsn op zich zou niet tot fraude mogen leiden, net zomin als een geboortedatum voldoende is. Daarom is er nu waarschijnlijk ook het aanbod om het paspoort te vervangen: zodat duidelijk is dat er identiteitsfraude is door gebruik van de verkeerde gegevens die wel gebruikt kunnen worden voor bewijzen van een identiteit.

William_H @kodak • 6 september 2021 09:04

Genoeg identiteitsfraude zaken waarbij gefraudeerd is met het BSN en mensen zwaar in de problemen zijn gekomen. Een "kopietje paspoort" en klaar. Het BSN wordt door de overheid oa nog steeds gezien als een geheim, terwijl dat natuurlijk helemaal niet zo is want het staat open en bloot op het document. De geheimhouding wordt bij de burger gelegd, terwijl de overheid verlangt dat we het BSN als maar vaker gaan gebruiken. Ongeveer hetzelfde met geboortedatums, hoe vaak dat niet, zelfs door zorginstanties, als id controle wordt ingezet. Schokkend!

R4gnax @William_H • 6 september 2021 10:44

Ongeveer hetzelfde met geboortedatums, hoe vaak dat niet, zelfs door zorginstanties, als id controle wordt ingezet. Schokkend!

"En mag ik ter controle uw postcode; huisnummer en geboortedatum." - inderdaad.

Tja; hoe ga je op een andere manier bij een telefoongesprek op laagdrempelige wijze verificatie van de wederpartij regelen?
Een speciaal wachtwoord voor mondelinge controle registreren? (Kan even zo goed gelekt worden.)
Enkel gesprekken toestaan vanaf bepaalde telefoonnummers? (Helpt niet: spoofing.)

Je zou dan met een one-time token systeem moeten gaan werken waar de service-medewerker een challenge code opgeeft die de wederpartij in een app of apparaatje invoert; en vervolgens de respons code terug opleest aan de medewerker.

Maar...
Daarmee haal je het laagdrempelige karakter van een telefonische service-desk juist weer weg. En dat is voor veel mensen, zeker de a-technischen onder de bevolking, nou juist waarom zij kiezen om te bellen ipv via elektronische weg te gaan.

laptopleon @R4gnax • 6 september 2021 12:53

Dat is dan jammer maar het is soms niet anders, want veiligheid is ook wat waard. Dan moeten die mensen maar hulp inroepen en dat gebeurt ook. Ik help onder andere mijn ouders met dit soort situaties. Die zijn echt niet dom, maar omdat elke club weer een andere site/interface/controlemethode heeft, is het voor hem vaak een zoekplaatje.

William_H @R4gnax • 6 september 2021 18:53

Je hebt helemaal gelijk, maar kort gezegd werkt het huidige systeem niet. Is het zo lek als een mandje. Of andere instanties/bedrijven/instellingen nu wel of niet (zoals @kodak zegt) die gegevens moeten vertrouwen, dat maakt niet uit. Het gebeurt, en dus moet er wat anders verzonnen worden.
Ik maak hier overigens een verschil tussen een eID / DigiD en het BSN. Gaat erom dat je best een publiek BSN kan hebben, maar dan met een public/private key variant. Net als wat ze nu doen met het Paspoortnummer, dat je public (die je dus nu op je Paspoort/ID ziet) kan intrekken, en dat daar een private key achter zit die nooit veranderd. Op zich heel makkelijk uit te voeren. Dat je dan misschien een controle moet toevoegen van de geldigheid van het BSN is een ander verhaal, dat is iets waar men nu ook tegenaan loopt met het paspoort/ID kaartnummer. Hiervoor zijn al oplossingen voor ID/Paspoorten, zoals de VIS Registratie.

kodak

Hack
Beveiliging en antivirus
Nederland
Hackers

@William_H • 6 september 2021 09:32

Als anderen veel te makkelijk gegevens vertrouwen dan heeft dat wijzigen dus niet zomaar zin. Dan gaat het meer om het probleem dat men iets claimt op verkeerde gegevens, wat hoe dan ook kan gebeuren. Daarbij zou het wijzigen waarschijnlijk weinig uitmaken als je meent dat de overheid het verkeerd gebruikt. De overheid kan als ze je bsn verwerken dat bsn waarschijnlijk ook controleren met gegevens die betrouwbaar genoeg moeten zijn en dus je nieuwe nummer.

Verwijderd 5 september 2021 16:36

Nu de vraag kan die bij elke datalek die bij de overheid voorkomt en of particuliere bedrijven?

Bender @Verwijderd • 6 september 2021 13:14

Het is mij niet helemaal duidelijk wat je vraag is..?

FrostyPeet 5 september 2021 17:00

Vermoedelijk eigenbelang van de provincie, anders loopt het goede personeel weg. Wie wil er voor een opdrachtgever werken als jouw eigen persoonlijke gegevens gevaar loopt terwijl er zoveel andere werkgevers zijn? Idem voor rechtszaken van medewerkers.

enver63

5 september 2021 17:01

Is er een wet, of jurisprudentie over aansprakelijkheid wanneer persoonsgegevens door een hack of datalek in handen van 'derden' komen, of zouden kunnen komen?
In juli stond de database van 'testcoronanu.nl' wagenwijd open, en lekten persoonsgegevens uit, waaronder paspoortnummer, BSN, adres en email.
Het zou netjes zijn als in zo'n geval het verantwoordelijke bedrijf ten minste de kosten van een nieuw paspoort betaalt.

In bovenstaand geval zou dat weinig zin hebben, want testcoronanu,nl is inmiddels verdwenen. Het hele testcoronanu.nl was een grote oplichtersbende, met een amateuristisch in elkaar geprutst 'certificaat' en een test waarbij het wattenstaafje je neus nog net raakte.

R4gnax @enver63 • 5 september 2021 19:18

Is er een wet, of jurisprudentie over aansprakelijkheid wanneer persoonsgegevens door een hack of datalek in handen van 'derden' komen, of zouden kunnen komen?

Je hebt wettelijk recht op schadevergoeding. Maar dan moet je natuurlijk wel hard aan kunnen tonen dat je schade hebt geleden juist door deze ene hack of dit ene datalek. Dat is praktisch niet effectief te bewijzen; en dan heb je dus gewoon het nakijken.

Je zou het dan nog kunnen proberen middels een schadevergoeding voor geleden emotionele schade - dwz stress voortvloeiend uit het niet weten wie er nu op wat voor manier met je gegevens aan de haal gaat en wat er nog boven je hoofd gaat hangen. De EU heeft verduidelijkt dat de schadevergoeding waar je volgens de GDPR/AVG recht op hebt ook dit soort schades omvat.
Maar veel verder dan een paar honderd euro zul je er niet mee komen.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:05]

enver63

@R4gnax • 6 september 2021 09:28

[...]
Je hebt wettelijk recht op schadevergoeding. Maar dan moet je natuurlijk wel hard aan kunnen tonen dat je schade hebt geleden juist door deze ene hack of dit ene datalek. Dat is praktisch niet effectief te bewijzen; en dan heb je dus gewoon het nakijken.

Dat dacht ik al. Eigenlijk zou je een nieuw paspoort moeten aanvragen voordat iemand misbruik maakt van je gegevens, dus om schade te voorkomen. Maar dat is een hoop gedoe en kost weer geld, en misschien gaat er niemand misbruik maken van gelekte gegevens...

Verwijderd @enver63 • 6 september 2021 13:05

Is er een wet, of jurisprudentie over aansprakelijkheid wanneer persoonsgegevens door een hack of datalek in handen van 'derden' komen, of zouden kunnen komen?

In deze bijdrage schreef ik over een verzoek van Oostenrijkse rechters aan Hof van Justitie van de Europese Unie om schadevergoedingen na het lekken van persoonsgegevens te verplichten, ook als de slachtoffers niet kunnen bewijzen dat zij concreet schade hebben geleden als gevolg van zo'n lek.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:05]

enver63

@Verwijderd • 6 september 2021 13:23

Interessante bijdrage, bedankt!

IrBaboon79 5 september 2021 17:20

Ik zou eerder verwachten dat een nieuw paspoort effectief een verplichting is ipv aanvragen op verzoek. De kosten (en aanverwante kosten) mogen naar dat IT bedrijf...

Blokker_1999

Hackers
Politiek en recht
Overheid
Hack
Beveiliging en antivirus
Nederland

@IrBaboon79 • 5 september 2021 20:17

Alleen kan de provincie die paspoorten niet laten blokkeren en geen aanvraag starten. Dat moeten toch echt de eigenaars van die paspoorten doen. Laten blokkeren kan niet want je weet niet of ze in het buitenland zitten. Dat zou hun terugreis bemoeilijken. En aanvragen kan niet omdat er een foto, vingerafdrukken en handtekening noodzakelijk is om op te nemen in het paspoort.

IrBaboon79 @Blokker_1999 • 5 september 2021 22:58

Het hoeft niet meteen geblokkeerd - duh! - maar wel direct aangetekende communicatie de deur uit; “beste persoon X, uw paspoort is gecompromitteerd, u wordt verzocht per direct contact op te nemen met Y ivm inplannen van een gratis vervanging…de risico’s etc…”
In het buitenland is geen issue - vakantie? Bij terugkomst brief op de mat. Langdurig? Eventueel melden bij ambassade, diplomatieke post, etc… foto, vingerafdruk e.d. spullen kan daar.

Bij grensovergangen kan je die paspoorten ook laten vlaggen zodat mensen informatie krijgen van zo’n stempelaar; er zijn nml meerdere soorten vlaggen, niet alleen de soort die je een privé sessie opleveren met een rubberen handschoen…

Dan heb je de meesten al te pakken iig.

Het komt nu een beetje over als “we zetten wel een advertentie in de krant en dan zien we wel…”

meade 5 september 2021 17:27

De provincie Gelderland is één van de rijkste provincies van Nederland omdat ze enkele jaren geleden de NUON aandelen voor 4,4 miljard euro (!) hebben verkocht. Als de rente opbrengst daarvan op bijvoorbeeld 0,5% geschat wordt dan gaat het om 22 miljoen euro. Per jaar. Het zal dus wel wat meevallen dat de belastingbetaler de kosten van 1400 paspoorten moet gaan betalen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (172)

Sorteer op:

Weergave: