Crimineel steelt 'honderdduizenden' cv's bij sollicitatieplatform Homerun

Een cybercrimineel heeft het Nederlandse sollicitatieplatform Homerun gehackt via een kwetsbaarheid in een ongepatchte Apache-server. Hierbij zijn onder meer cv's en motivatiebrieven gestolen van honderdduizenden gebruikers. Homerun heeft de crimineel betaald.

De aanval begon op 20 oktober, schrijft Homerun. Dat gebeurde via een Apache-server die het bedrijf in AWS had draaien. Deze server had de kwetsbaarheid CVE-2021-40438, waarbij aanvallers toegangstokens konden stelen. Met deze tokens wist de aanvaller toegang te krijgen tot de data van Homerun en de persoonlijke data van gebruikers te stelen. Een patch voor het lek werd in Apache 2.4.49 geleverd. Die kwam op 16 september van dit jaar uit. AWS implementeerde de fix vervolgens op 15 oktober.

Homerun ontdekte de aanval op 26 oktober en contacteerde beveiligingsbedrijf Northwave voor hulp. Op 28 oktober werden de Apache-servers gepatcht 'zodat de aanvaller er geen toegang meer toe had', al was de data daarna hoogstwaarschijnlijk al gedownload. Het sollicitatieplatform zocht ook contact op met de aanvaller en heeft de aanvaller een onbekend bedrag in bitcoin betaald. De aanvaller zegt de data te hebben verwijderd en Homerun zegt geen aanwijzingen te hebben dat de data is gelekt.

Klanten, waarmee Homerun doelt op bedrijven die het platform gebruiken, zijn volgens het platform op 29 oktober geïnformeerd. Op GoT is een topic over de aanval. Een van de bedrijven zegt van Homerun te hebben gehoord dat er een 'hele kleine kans is' dat er nog een kopie van de data bestaat. Een tweaker zegt ook dat zijn data vier jaar is bewaard, terwijl een bedrijf deze gegevens standaard vier weken mag bewaren. Met toestemming kan dit verlengd worden tot een jaar.

Volgens RTL Nieuws gaat het om honderdduizenden sollicitatiebrieven, cv's, namen, e-mail- en woonadressen, telefoonnummers en vacatureopdrachten. Homerun heeft de Autoriteit Persoonsgegevens en de politie ingelicht over de aanval. Het platform zegt ook te kijken naar het opt-out maken van strengere privacyfuncties, zoals het automatisch verwijderen van sollicitatiegegevens. Die functie bestaat al, maar is nu opt-in. Homerun is een sollicitatieplatform dat bedrijven kunnen inzetten om sollicitaties bij een vacature te kunnen verwerken.

Door Hayte Hugo

Redacteur

Feedback • 09-11-2021 10:12
70 • submitter: MikeN

09-11-2021 • 10:12

70 Linkedin

Submitter: MikeN

Lees meer

Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord Nieuws van 16 november 2021
VDL Groep is maand na cyberaanval weer 'vrijwel volledig' in bedrijf Nieuws van 8 november 2021
Microsoft: hackersgroep achter SolarWinds is nog steeds actief Nieuws van 25 oktober 2021
Criminelen gebruiken AI-namaakstem bij bankroof van ruim 30 miljoen euro Nieuws van 15 oktober 2021
KvK: Nederlandse bedrijven krijgen wekelijks 294 cyberaanvallen te verwerken Nieuws van 4 oktober 2021
Criminele hackers beroofden 6000 users Coinbase via kwetsbaarheid in 2fa via sms Nieuws van 3 oktober 2021
Man die 2 miljoen smartphones van AT&T hackte krijgt 12 jaar gevangenisstraf Nieuws van 17 september 2021
Anonymous-hackers claimen diefstal van klantgegevens omstreden registrar Epik Nieuws van 15 september 2021
Gestolen gegevens ROC Mondriaan zijn online gezet door hackers Nieuws van 14 september 2021
Belgisch Onafhankelijk Ziekenfonds getroffen door hackaanval Nieuws van 11 september 2021
KPN-klanten klagen dat ze al dagen niet kunnen mailen door Internedservices-hack Nieuws van 10 september 2021
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts Nieuws van 9 september 2021
Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online Nieuws van 7 september 2021
Meer producten en artikelen
Beveiliging en antivirus Networking en security Criminaliteit Crimineel Cybercrime Sollicitatie Vacature

Reacties (70)

-Moderatie-faq
70
69
38
4
0
29
Wijzig sortering
Puffino
9 november 2021 10:20
Er is nog veel te doen.

Quote:
"Het platform zegt tegen RTL Nieuws ook te kijken naar strengere privacyfuncties, om sollicitatiegegevens na een jaar automatisch te kunnen verwijderen."

En dan de regels waar ze aan behoren te voldoen:
"....terwijl een bedrijf deze gegevens standaard vier weken mag bewaren. Met toestemming kan dit verlengd worden tot een jaar."

En ze zijn waarschijnlijk niet bepaald de enige. Maar we weten het niet. We zien het niet.
sOid
@Puffino9 november 2021 10:31
Ik ben vorig jaar nog betrokken geweest bij de aanbesteding voor zo'n systeem. Gelukkig is het niet dit platform geworden.

Bij ons wordt het inderdaad max 4 weken bewaard (of eerder verwijderd als procedure is afgerond) en kunnen mensen aangeven of we het wel of niet een jaar mogen bewaren. En dat is dus echt opt-in. Daarnaast maken we duidelijk dat ze die toestemming altijd kunnen intrekken gedurende dat jaar. Wij verwijderen die gegevens dan.

Hierbij moet ik wel de kanttekening plaatsen dat het ook met gedrag van gebruikers te maken heeft. Het is eenvoudig om een .pdf of .docx te downloaden om tijdens de procedure te bekijken, en naderhand vergeten die weg te gooien.

[Reactie gewijzigd door sOid op 9 november 2021 10:32]

IStealYourGun
@sOid9 november 2021 11:15
Volgens mij zijn documenten op lokale computers een grijs gebied waar je geen rekening mee moet houden om ze te verwijderen. Uiteraard mogen die kopieën enkel gebruikt worden voor hun beoogde doel. Dus als iemand een cv download om een interview af te leggen en dat vergeet te verwijderen is dat geen issue, maar die persoon mag dat cv nadien niet gebruiken om kandidaten te contacteren voor een andere vacature. Hij mag die cv ook niet doorsturen of beschikbaar maken voor andere collega's.

Een computer is ook een persoonlijk medium, net zoals mail.

Desondanks bestaan er wel manieren om documenten ook op computers te beheren. Je kan ze tagen met een retention periode of gewoon de auto clean functie in Windows 10 aanzetten op de download folder.
GertMenkel
@IStealYourGun9 november 2021 13:13
Volgens mij zijn documenten op lokale computers een grijs gebied waar je geen rekening mee moet houden om ze te verwijderen. Uiteraard mogen die kopieën enkel gebruikt worden voor hun beoogde doel. Dus als iemand een cv download om een interview af te leggen en dat vergeet te verwijderen is dat geen issue, maar die persoon mag dat cv nadien niet gebruiken om kandidaten te contacteren voor een andere vacature.
Dat vind ik een vreemde interpretatie van de privacywet. Als je zo'n CV uitprint zou het in de shredder moeten, dus als je hem downloadt zou hij net zo goed zo snel mogelijk verwijderd moeten worden. Vier weken is dan al veel, vind ik.

Niemand geeft een zak om privacy en daarom denk ik dat je er in de praktijk mee wegkomt, maar ik vind het de grootste onzin. Als je zo'n CV downloadt, dien je daar volgens de geldende regels binnen je bedrijf mee om te gaan, en als dat is dat deze vier weken na het uploaden verwijderd moet worden, is het je task als werknemer om dat dan ook te doen. Als je die taak verzaakt vind ik niet dat je geschikt bent om met die informatie om te gaan.

Hoeveel informatie is er wel niet gelekt door laptops en USB-sticks die in de trein achter zijn gebleven? We zullen nooit een concreet getal weten, want die informatie is er gewoon niet, maar de "laat maar gaan"-aanpak van dit soort onnodige dataretentie is mij een doorn in het oog.
IStealYourGun
@GertMenkel9 november 2021 13:37
Het is vooral de privacy wet dat botst met zichzelf, want je mailbox of je download folder is strikt gezien persoonlijk en het valt dus niet te controleren zonder de privacy wetten te overtreden.

Dat wil niet zeggen dat je gewoon de handjes in de lucht moet gooien, het is geen vrijgeleide als de gegevens toch op straat zouden belanden en de retention policies blijven van toepassing, alleen kan je ze niet controleren. Om verder te gaan in je beeldspraak, die uitgeprinte cv bevindt zich ik een persoonlijke afsloten dossierkast.

Het wil ook niet zeggen dat je niets kan doen. Je kan de hdd van de laptops versleutelen en je kan dat ook forceren voor USB drives. Een andere methode is het automatisch opschonen van de download folder. Wil je echter nog verder gaan, zou je ook kunnen investeren in een pakket zoals azure information protection, maar dat is niet goedkoop. Je kan zo ver en zo duur gaan als je zelf wil.
GertMenkel
@IStealYourGun9 november 2021 15:41
Je huis is ook privé, maar als je thuis een grote stapel geheime documenten hebt, is dat alsnog verboden. Je mag je PC helemaal inrichten zoals je zelf wilt, met de kanttekening dat je je aan de wet houdt. Daarom ben je ook zelf verantwoordelijk om downloads van een CV te verwijderen.

Op een werk-PC is je privacy overigens meer ingeperkt dan normaal, aangezien de belangen van de werkgever ook meetellen. Zo kan de werkgever software installeren op je PC die downloads automatisch wist of die voorkomt dat je je documenten downloadt. Daarmee is de privacy van je downloadmap verre van gegarandeerd.

Bij BYOD-systemen wordt het natuurlijk helemaal een bende van regelgeving en afwegingen, dat is waarom ik er als bedrijf ook nooit voor zou kiezen. Zelfs dan ben je als werknemer verplicht de privacy van je eindklanten te garanderen, en je bedrijf is verplicht om je daarin te onderwijzen indien nodig. Hoe dan ook mag het niet voorkomen dat na een jaar duizend CV's die maar 4 weken bewaard mochten blijven op je PC blijven staan, dan heeft je werkgever of heb jijzelf een belangrijke plicht verzaakt. De eindklant moet natuurlijk alleen maar klagen bij de werkgever, maar je baas zal niet blij met je zijn als het AP door jouw fout een onderzoek start.
IStealYourGun
@GertMenkel10 november 2021 00:17
Daar sla je toch wel de bal een beetje mis en het is eigenlijk dezelfde wetgeving, of beter gezegd, hetzelfde verdrag dat van toepassing is op je privéwoning, dat er net voor zorgt dat je als werkgever niet zomaar eventjes in persoonlijke folders mag kijken.

Meer bepaald Artikel 8 van het Europees Verdrag voor de Rechten van de Mens: "Recht op eerbiediging van privé-, familie- en gezinsleven". Als je werkgever vermoed dat je een grote stapel geheime bedrijfsdocumenten thuis hebt liggen, dan geeft hem dat niet automatisch het recht om je woonst te betreden. Hij kan hooguit je het eens vriendelijk vragen of een klacht indienen.

Dat artikel is dus ook van toepassing op persoonlijke data zoals een mailbox of een persoonlijke folder op een laptop*.

En voor alle duidelijkheid, dit wil niet zeggen dat de AVG niet van toepassing is. Je werknemer moet nog steeds de privacyregels volgen en die bestanden verwijderen na vier weken, maar de werkgever kan dat niet zomaar controleren vanwege andere privacyregels.

Die catch-22 is ook géén achterpoortje om een archief aan CV's aan te leggen. Het is nog steeds de bedoeling dat die data verdwijnt na vier weken en je mag als werkgever daarvoor de nodige technologieën gebruiken, zoals een AIP waarmee data na de retention automatisch kan verdwijnen.

* Strikt gezien is dit verdrag enkel van toepassing op documenten en folders die duidelijk gelabeld zijn met het woord Privé, dat heeft het Europees Hof voor de Rechten van de Mens bepaalde in de zaak Libert c. France in 2018. Desondanks is het niet nodig voor de AVG om alle folders van je werknemers te controleren die niet gemarkeerd zijn met het woord "privé". Net zoals de AVG ook niet verwacht dat je backups gaat verwijderen om compliant te zijn.

[Reactie gewijzigd door IStealYourGun op 10 november 2021 00:18]

GertMenkel
@IStealYourGun10 november 2021 11:06
Je werkgever mag inderdaad niet je huis betreden, maar dat maakt niet uit. Jij overtreedt je contract en eventueel de wet met jouw gedrag, en je werknemer is verantwoordelijk als andere mensen daar de dupe van zijn.

"Mijn huis mijn regels" gaat niet op als je jouw huis gebruikt om dingen te doen die je niet mag doen.

Ja, het is lastig voor de werkgever te bewijzen (minder lastig als het gaat om een laptop in eigendom van de werkgever, want die kan en mag monitoringsoftware draaien indien onderbouwd, tot op een zeker punt), maar jij bent nog steeds degene die hier verantwoordelijk is voor je eigen, foute gedrag. Hoe laag de pakkans ook is, het mág niet.
aeonmort
@Puffino9 november 2021 10:32
Daar zit wel wat nuance in. Als je geen legitieme reden meer hebt om de gegevens te hebben, heb je vier weken de tijd om toestemming te verkrijgen om de gegevens te bewaren. Dus bijvoorbeeld als een sollicitatie afgewezen is. Als men echter voor andere redenen die data heeft mag dat wel langer. Bijvoorbeeld als je je gegevens geeft bij een open sollicitatie. (Maar ook dan meen ik niet langer dan een jaar.)
Kjoe_Ljan
@Puffino10 november 2021 10:47
De genoemde vier weken tijd zijn vier weken na het afsluiten van de sollicitatieprocedure. Dus niet vier weken na het ontvangen van een cv/motivatiebrief.
gaskabouter
@Puffino9 november 2021 13:37
Het gaat hier gewoon om het bewaren van persoonsgegevens, daar geldt helemaal niet een wettelijke termijn voor daar sluit je een overeenkomst over of er is een algemene bepaling, zoals bijvoorbeeld bij medische dossiers.

Als je gegevens verwerkt is er een "zo kort mogelijke termijn als nodig" maar als het gaat om bewaren van documenten en persoonsgegevens, bij Tweakers bijvoorbeeld, is er geen wettelijke termijn.

Ik zie überhaupt nergens de vier weken staan, maar kan aan mij liggen.

https://www.autoriteitper...g-gegevensbescherming-avg
StructuurE8
@gaskabouter9 november 2021 20:36
Je moet zoeken op ABP niet AVG, hier staat 4 weken in. Maar met je toestemming mag een bedrijf het cv 1 jaar bewaren. Daarom hebben de meeste uitzendbureaus nu systemen waarmee ze automatisch na de periode een mail versturen met de vraag of ze het cv/contactgegevens mogen bewaren
gaskabouter
@StructuurE89 november 2021 21:00
Misschien moet je met een bron komen, ABP is een pensioenfonds.

Als jij een account hebt bij een dienstverlener en jij kan daarvoor gegevens uploaden is er geen termijn.

Of dat nou bij een zorginstelling een bank of een uitzendbureau maakt niets uit. Tenzij je anders afspreekt natuurlijk. Sterker nog; meestal zijn ze verplicht data te bewaren.
GertMenkel
@Kemosabe9 november 2021 13:26
Een gedeelte van je CV, zeker. De dingen die werkgevers van je eisen om een kans te maken (naam, telefoon, email, foto, etc.) niet per se.

Elk CV dat ik gezien heb is meer uitgebreid met persoonlijke informatie dan nodig. Laat je je naam en foto van een CV (ondanks dat hoe je heet en hoe je eruit ziet natuurlijk niks te maken heeft met je functioneren, en discriminatie is jammer genoeg nog steeds iets dat bij sollicitaties erg veel voorkomt) dan hoef je bij veel bedrijven niet eens de moeite te doen om te reageren. Je wordt feitelijk gedwongen om die onnodige informatie af te staan, en ik vind dat daar dan ook de nodige bescherming bij hoort.

Als uitlekt dat je van de hogeschool van lutjebroek komt en vijf jaar voor bedrijfco hebt gewerkt, zou ik dat niet als een heel problematisch datalek classificeren. Zit er een foto bij met naam, adres, telefoonnummer, enzovoorts, dan wordt het een stuk problematischer.
Tintel
@GertMenkel9 november 2021 13:51
Je zegt het goed. Vaak wordt meer gevraagd dan strict noodzakelijk.
En elk persoonlijk gegeven dat bekend is bij een kwaadwillende kan hem helpen om identiteitsdiefstal te plegen.
Maar veel persoonlijke gegevens zijn helemaal geen geheim. Niet algemeen bekend natuurlijk maar zeker geen geheim. Telefoonnummers waren enige tijd geleden ook veelal bekend cq. op te zoeken aan de hand van de naam.
Een adres is het minste wat een webshop nodig heeft om iets af te leveren. Dus die laat je nogal vaak 'achter'.
Grappig genoeg is vaak de geboortedatum een 'key-value' en die hoef je eigenlijk nergens achter te laten. Natuurlijk wordt dat wel geprobeerd (voor de verjaardags e-mail aanbieding of handig bij de CV).

Het uitlekken van een mail adres is eigenlijk ook niet zo erg zou je denken want die dien je ook best vaak achter te laten. Natuurlijk kun je werken met aliassen. Maar buiten dat - het gaat mis omdat spam ontstaat of spoofing. Maar spam bestond al langer - daar was je fysieke brievenbus ook al handig voor.

Het nare is dat juist die instanties waar je echt veel gegevens moet achterlaten het niet zo nauw nemen met privacy. FB heeft helemaal geen recht om je ID te vragen. De overheid hjeeft dat recht wel maar die wil vervolgens ook biometrische gegevens daar nog bij.
En overheden die dus onderling data delen breken dus privacy regels. Maar als dat enkel gebeurt door geauthoriseerden of als het als doel heeft belastingen te heffen dan mag dat lekker toch. En zo wordt dit weer goedgepraat.

Ik denk dat het systeem op de schop moet. Persoonsgegevens zijn geen geheim en als je deze moet achterlaten dan blijven deze zeker geen geheim. Je identiteit zou niet moeten worden vastgesteld aan de hand van algemeen bekende data maar middels een unieke code die jij kunt opvragen (en alleen jij) en ieder ander kan gebruiken om vast te stellen dat jij bent wie je zegt te zijn (dus naam). Die code is dan voor eenmalig gebruik. Dus als een mail zegt van de ABN-AMRO te zijn dan moet je ook zo'n code klrijgen en in kunnen vullen.
Kemosabe
@GertMenkel9 november 2021 21:51
Als je zo bekijkt heb je zeker gelijk. Het was ook meer als grap bedoeld dan 100% serieus. Maar idd gegevens als 06 an adres is zeker niet wenselijk
RedRayMann
@Kemosabe9 november 2021 10:36
Beste meneer X

Bedankt voor uw sollicitatie op vacature Y. Graag komen we met u in contact. Via onderstaande link komt u bij ons plan systeem om een afspraak in te plannen.

Groet,

Bedrijf Z


En dan op het portaal de functies "log in met Google, Facebook, Apple" etc aanzetten

Of maak een nieuw account met 2WA.
Of een pdf/word bestand met malware

Het is misschien niet direct een goudmijn, maar er is vast wat te halen voor mensen die iets willen halen.
Stukfruit
@Kemosabe9 november 2021 10:37
Je wil normaalgesproken wel dat je up-to-date CV wordt uitgedeeld, dus een oude laten liggen kan tegen je werken (qua bv. recente kennis).

Daarnaast staan er ook vaak persoonsgegevens in (telefoonnummer e.d.) en die zijn tegenwoordig beschermd. Zoals het hoort.
Tintel
@Kemosabe9 november 2021 11:51
Je wordt omlaag gemodereerd maar je hebt wel een punt. Ook al is de bewaartermijn 4 weken. De data deel je echt wel uit aan relatief veel partijen.

Het punt is wel dat het wellicht minder persoonsgegevens moet bevatten. Maar ja - sommige informatie is toch relevant voor bepaalde functies.
AnonymousWP
@Kemosabe9 november 2021 11:19
Ok, post je CV hier maar dan met al je persoonlijke informatie.
jeroen_loeffen
@Kemosabe9 november 2021 16:03
Ja, maar je bepaalt toch graag zelf aan wie.
Krulliebol
@Kemosabe9 november 2021 18:54
Niet overal en aan iedereen.
Crazy4ever
9 november 2021 10:18
Een tweaker zegt ook dat zijn data vier jaar is bewaard, terwijl een bedrijf deze gegevens standaard vier weken mag bewaren.
Tijd voor een rechtzaak begrijp ik?
Djerro123
@Crazy4ever9 november 2021 10:22
Nee, laten we niet de Amerika route op gaan. Hebben ze de wet overtreden? Dan volgt een strafrechtelijke procedure. Je doet dan aangifte etc. Laten we zorgen dat bedrijven zich aan de regels houden ipv “kijken wie deze grote jongen durft aan te klagen”.
Nickvda
@Djerro1239 november 2021 11:01
Het probleem is alleen dat die 'grote jongens' het pas serieus nemen zodra ze boetes krijgen.
CyberJack
@Nickvda9 november 2021 11:32
Ik vermoed dat 'grote jongens' het krijgen van een boete gewoon incalculeren. Wat is uiteindelijk goedkoper, of beter gezegd, wat levert meer op.
Iblies
@CyberJack9 november 2021 12:16
Het probleem incalculeren tbv groei 🙂
Het platform zegt tegen RTL Nieuws ook te kijken naar strengere privacyfuncties, om sollicitatiegegevens na een jaar automatisch te kunnen verwijderen.
Je hebt een bedrijf die hoofdzakelijk op internet actief is met veel data,
en na gehacked te zijn zal er “meer” aandacht besteed worden aan veiligheid….


Eerste vraag die naar boven komt is hoeveel tijd er in is gestoken en hoeveel zou (redelijk) afdoende zijn geweest.
Als dat een 1 fte was geweest, dan is een boete van minimaal €75k wenselijk.


Zou het nog een keer gebeuren gaat het boetebedrag nog harder omhoog.

Als die factor niet wordt meegenomen en blijft sturen op “eerst een waarschuwing”, dan gaan bedrijven bewust die ruimte opzoeken met de kennis dat eerste overtreding ze niks (weinig) zal kosten.
CyberJack
@Iblies9 november 2021 13:48
Je hebt een bedrijf die hoofdzakelijk op internet actief is met veel data, en na gehacked te zijn zal er “meer” aandacht besteed worden aan veiligheid…
Mijn opmerking moet los gezien worden van een eventuele hack. Dat je je systemen niet goed beveiligd, up-to-date houd en monitord is erg slecht en mag van mij lost bestraft worden.

Veel data hebben en (te) lang kunnen gebruiken kan aardig wat opleveren. Een eventuele boete (met een maximum van je totaal omzet) kan dan best ingecalculeerd worden. De factor die je noemt kan dan zeker helpen, maar dan moet de maximum van de boete ook verdwijnen.

Als een bedrijf betrapt is (en ik geloof heus wel dat het niet altijd opzet is) zouden ze, naar mijn idee, ook aantoonbaar moeten kunnen maken wat ze gedaan hebben om het e.a. te verbeteren. Ik weet namelijk niet of dit nu het geval is. Termen als "strengere privacyfuncties" zeggen namelijk niet zo veel, en het resultaat van de aanpassing hoeft ook zeker niet voldoende te zijn. En wat gebeurd er in de tussentijd met de data? Ik hoop verplicht verwijderen, en ook dit zou weer aantoonbaar moet zijn.

Al met al, een soort ISO audit dus, maar dan moet het AP hier wel het geld en de middelen voor krijgen, anders blijft dit een probleem.
Lisadr
@Djerro1239 november 2021 10:40
Mits AP hier tijd voor heeft komen zij dan met een verwaarloosbare boete. Het is een bedrijf met ongeveer 580 miljoen euro omzet. Een maximale boete zou dan 23,2 miljoen euro zijn. Maar kijkend naar boetes die AP geeft dan zal het waarschijnlijk 1 a 4 ton worden.

Zolang bedrijven geef hoge boetes krijgen. Zolang directieleden en niet aansprakelijk worden gesteld. Zolang de gevolgen nauwelijks voelbaar zijn, zullen ze privacy en security niet serious nemen.

[Reactie gewijzigd door Lisadr op 9 november 2021 14:19]

GertMenkel
@Lisadr9 november 2021 13:15
Zelfs op zo'n bedrijf heeft zo'n boete zin, want bij herhalingen worden de boetes hoger en dat weten ze. Het zorgt ook nog eens voor extra negatieve publiciteit. Daarnaast wordt er natuurlijk een zondebok uit het bedrijf gewerkt, dat kan een manager zijn die destijds groen licht gegeven heeft voor dataretentie.
Lisadr
@GertMenkel9 november 2021 13:46
Dat zou het geval kunnen zijn als er sprake is van onwetendheid of onkunde. Maar soms is het ook een calculated risk.
Zynth
@GertMenkel10 november 2021 00:17
Dan richt je een nieuw bedrijf op. Verkoop je je systeem aan je nieuwe bedrijf. En ga je op oude voet verder.
Voor het nieuwe bedrijf volgt dan weer een "eerste waarschuwing".
Dat kan je lang volhouden; dus het werkt niet.
kenan
@Lisadr9 november 2021 14:08
Het is een bedrijf met ongeveer 580 miljoen euro omzet.
Hoe kom je op 580 miljoen euro omzet? Vind ik wel heel veel voor een bedrijfje met ±20 mensen in dienst.
Lisadr
@kenan9 november 2021 14:18
Dacht dat ze onderdeel waren van Homerun Holdings. Maar zie nu dat ze daar geen onderdeel van zijn. Homerun Holdings had in 2020 $665.3 Million omzet.
hackerhater
@Djerro1239 november 2021 11:41
Euhm ja? => AVG wetgeving
ToolkiT
@Crazy4ever9 november 2021 10:55
Het bepalen/bewijzen van je schade als gebruiker is lastig denk ik..
R4gnax
@ToolkiT9 november 2021 13:27
Het bepalen/bewijzen van je schade als gebruiker is lastig denk ik..
Wordt hoog tijd dat er een revisie op de AVG komt die de bewijslast omkeert.
Kun jij als gebruiker aantonen dat jij gegevens bij het bedrijf geregistreerd had, dan is het daarna aan het bedrijf in kwestie om te bewijzen dat die gegevens niet gelekt zijn en niet misbruikt zijn of zullen gaan worden.

Dat zou een stuk beter werken. Dan is er sowieso een gigantische stok achter de deur voor bedrijven om hun data-huishouding op orde te hebben en te weten welke data door welke processen heen vloeit. Want alleen met gedegen administratie kunnen ze in zo'n geval nog aannemelijk maken dat bepaalde data niet onderdeel van het lek geweest kan zijn.

Bedrijven zijn feitelijk al verplicht die administratie op orde te hebben onder de huidige wetgeving, dus ze kunnen niet klagen dat dat disproportioneel moeite zou zijn. Dat zou betekenen dat ze nu ook al niet aan de wet voldoen...

[Reactie gewijzigd door R4gnax op 9 november 2021 13:28]

ToolkiT
@R4gnax9 november 2021 13:48
Ik doelde eigenlijk meer over het quantificeren van je schade.. hoe bepaal je dat?
Als een organisatie al schuldig is bevonden in een strafrechtelijke veroordeling is de schuldvraag bij een civiele zaak simpel.. Dus als AP hun als schuldig verklaard is dat genoeg lijkt me..
Maar dan.. je gegevens zijn gelekt, maar hoeveel schade heb daar van? En wat voor bedrag compensatie kan je daar voor eisen??
R4gnax
@ToolkiT9 november 2021 16:49
Maar dan.. je gegevens zijn gelekt, maar hoeveel schade heb daar van? En wat voor bedrag compensatie kan je daar voor eisen??
Daarom omgekeerde bewijslast: op dat moment zou het aan het bedrijf zijn om te bewijzen dat je als getroffene geen schade kunt hebben ondervinden of nog kunt gaan ondervinden, of dat de schade beperkter zou zijn dan wat jij zou voorspiegelen.

Waarbij alsnog een rechter natuurlijk naar redelijkheid zal toetsen; maar in elk geval heb je dan als kleine consument geen onmogelijk houdbare positie meer tov een bedrijf wat feitelijk alle kaarten in handen houdt.

[Reactie gewijzigd door R4gnax op 9 november 2021 16:50]

jinks26
@Crazy4ever9 november 2021 11:47
Ik werk ook voor een sollicitatieplatform en wij doen er alles aan om gdpr compliant te zijn en anonimiseren automatisch de gegevens van de kandidaat indien een bepaalde periode verstreken wordt. (Mits toelating na mail naar de sollicitant worden gegevens langer bijgehouden)
Zelfs als programmeur kun je in de database niet meer zien welke gegevens ingevuld zijn, ook is dit process niet omkeerbaar.
Jammer dat bedrijven als homerun daarmee weg kunnen komen.
gaskabouter
@Crazy4ever9 november 2021 13:39
Op basis van welk wetsartikel, ik ken geen wet met deze bepaling?

https://www.autoriteitper...g-gegevensbescherming-avg
Polderviking
9 november 2021 11:30
Een tweaker zegt ook dat zijn data vier jaar is bewaard, terwijl een bedrijf deze gegevens standaard vier weken mag bewaren. Met toestemming kan dit verlengd worden tot een jaar.
Waar komt die data gulzigheid bij bedrijven toch weg.
Je wil toch helemaal gaan aansprakelijkheid hebben over data waar je geen concrete business case voor hebt? Data die je niet hebt kan ook niet uitlekken.
Tintel
@Polderviking9 november 2021 11:48
Waarom zouden ze geen businees case hebben voor oude CV's?

(buiten dat het dus niet mag)
Polderviking
@Tintel9 november 2021 11:48
Wat ga je concreet doen met data die je niet mag hebben dan?
Tintel
@Polderviking9 november 2021 12:04
Nou, op basis daarvan benaderen ze of je 'op je plek zit' en eventueel een andere job wilt.

Dan kun jij wel zeggen: hoe kom je aan mijn e-mail /telnr? maar ja. Zo werkt dat netwerken nu eenmaal. Dat stopt niet na 4 weken/1 jaar.
Polderviking
@Tintel9 november 2021 12:09
Als je mensen zomaar benaderd via de telefoon is dat gewoon telemarketing en dat mag niet zomaar meer als er geen actieve klantrelatie is.

Je zou wel een toestemming kunnen vragen voor mailbenadering maar dan heb je expliciet alleen maar een naam en e-mailadres nodig.

In beide gevallen hoef je geen hele CV's te bewaren maar alleen data die je voor de respectievelijk doelen nodig hebt.
Zo werkt dat ook vanuit het perspectief van GDPR.

[Reactie gewijzigd door Polderviking op 9 november 2021 12:20]

Tintel
@Polderviking9 november 2021 13:31
Natuurlijk hoef je geen heel CV te bewaren. Maar het was een antwoord op "waarom zou iemand dat doen?"
Want als je het hele CV hebt dan kun je die persoon dus doelgericht benaderen.

Dan kun je wel stellen: je hoeft maar een deel te bewaren. Maar welk deel dan? Inclusief geb. datum? Incl. opleidingen?
Want je doel is (bijv.) iedereen benaderen die ooit met C++ heeft gewerkt.
Polderviking
@Tintel9 november 2021 14:07
Want als je het hele CV hebt dan kun je die persoon dus doelgericht benaderen.
Data hebben of data kunnen inzetten/gebruiken dat zijn twee verschillende dingen.
Als je leads zit aan te boren met data die je allang niet meer mag hebben ben je gewoon fout bezig.
Dan kun je wel stellen: je hoeft maar een deel te bewaren. Maar welk deel dan? Inclusief geb. datum? Incl. opleidingen?
Want je doel is (bijv.) iedereen benaderen die ooit met C++ heeft gewerkt.
Wat ik in ieder geval stel is dat niet zomaar het recht hebt om zo'n database met mensen en functieprofielen aan te leggen waar je ooit eens wat mee hebt gedaan.
Tintel
@Polderviking9 november 2021 15:28
Daar heb je gelijk in maar dat was niet de vraag. De moeilijkheid is natuurlijk wel dat jij niet weet of ze je benaderen op basis van data die ze niet zouden mogen bezitten of data die ze opnieuw hebben gekregen (via bijv. LinkedIn)
Superstoned
9 november 2021 11:41
Ok, dus een vulnerability in Apache waar een maand voor de hack een patch voor was uitgebracht. Maar die hadden ze niet deployed. Eigen schuld dus? Van mij mogen ze nog een flinke boete van het AP krijgen voor het niet goed beveiligen van hun data - security patches zouden toch binnen een paar dagen toegepast moeten worden? Zucht.
Polderviking
@Superstoned9 november 2021 12:19
De vraag is dan natuurlijk wel waar exact je die grens legt van "dit duurt te lang".

Verder vind ik het nooit "eigen schuld".
De enige plek waar van ondubbelzinnige kwade opzet sprake is is bij die hacker.
Krulliebol
@Polderviking9 november 2021 18:53
De vraag is dan natuurlijk wel waar exact je die grens legt van "dit duurt te lang".
Daar zijn OWASP-normen voor. Ik meen 7 dagen voor gewone patches en 24 uur voor kritische.
Polderviking
@Krulliebol10 november 2021 08:49
Wat maakt deze normen leidend voor iedereen?
Superstoned
@Polderviking10 november 2021 17:29
Kunnen we toch wetgeving voor aannemen? Kom op, een maand over een kritiek lek doen - dat is idioot lang.
Polderviking
@Superstoned10 november 2021 19:30
Maar hoe kom je bij kritiek lek.

Op CVE details scoortie 6.8 van 10, omdat er voorwaarden aan de exploiteerbaarheid zitten.
Da's niet zomaar "heartbleed achtig" kritiek.
Kan zomaar dat iemand, kennelijk abusievelijk, heeft bepaald heeft dat niet op hun omgeving toepasbaar is en dit kan wachten.

Verder kan je er best een wetje omheen vrouw maar mensen voorschrijven hoe ze moeten werken heeft echt wel wat meer haken en ogen dan dat.
Overheid gaat dan ook moeten zorgen bijvoorbeeld dat informatie over kwetsbaarheden bij bedrijven komt, al is het maar om überhaupt doorlooptijden te kunnen meten.

Even heel ander voorbeeld.
Pas in April volgend jaar moet je iets van een bewijs van kundigheid hebben voordat je gasketels mag ophangen bij mensen. Daar gingen concreet mensen dood aan. Hoe lang heeft dat desondanks geduurd?

[Reactie gewijzigd door Polderviking op 10 november 2021 19:33]

GertMenkel
@Superstoned9 november 2021 13:20
Een maand vind ik nog wel meevallen, eigenlijk. Nog steeds zijn er incompetente Windows-beheerders met lekke Exchange-servers die onderhand allemaal onderdeel zijn van een botnet, en nog steeds lopen er bedrijven maanden tot jaren achter met hun patches.

Het is slordig om zoiets niet bij te houden, maar als het echt "maar" een maand was, vind ik het in vergelijking met een groot deel van de "zakelijke" IT niet eens zo heel erg. Een upgrade van Apache kan productie down halen (heb ik op mijn eigen server meer dan genoeg last van gehad) en het onderliggende probleem oplossen kan soms wat tijd kosten.

Ik ken eigenlijk geen groot bedrijf dat securitypatches zonder blikken of blozen in een paar dagen uitrolt naar productie, meestal wordt er toch wel een week ofzo getest op acceptatie om te kijken of alles nog goed werkt.
Superstoned
@GertMenkel10 november 2021 17:31
oh, het kan slechter, maar da's geen excuus.

En security patches binnen een paar dagen tot een week is vrij normaal volgens mij - ja, een minor update duurt langer, maar patches? Dat gaat toch vaak wel snel. Het is tenslotte een keuze tussen data lekken en een kleine kans op performance of stabiliteitsproblemen. We kunnen met wetgeving die keuze wat makkelijker maken, trouwens - ben ik helemaal voor - flinke boetes voor te laat updaten.
tagersenim
9 november 2021 10:18
Ook hier wordt wéér betaald. Dit houdt het lucratieve businessmodel van de hackers wel in stand.
djexplo
@tagersenim9 november 2021 11:04
Stel dat iemand jou telefoon heef gestolen maar voor 10euro geeft hij hem terug. Waarschijnlijk geef je hem ook de 10euro. Want je kan wel naar de Politie gaan maar dan duurt het waarschijnlijk weken voor dat je telefoon terug is, als die al terug gevonden word. Ook kan je een nieuwe telefoon kopen, maar dan ben je net die paar leuke foto's of berichten kwijt die nog niet in de cloud stonden.

Dus in praktijk word er 90% van de gevallen altijd betaald, en daarna pas aangifte gedaan.
Tintel
@djexplo9 november 2021 13:35
Slecht voorbeeld. Want die telefoon diefstal is zeer waarschijnlijk niet makkelijk te herhalen. Mocht dat wel zo zijn dan weet je dus al dat het betalen van 10 euro je niet gaat behoeden voor nog wat meer betalingen.

En de politie gaat jij niet helpen je telefoon terug te krijgen net zomin als die de data gaat recoveren [die is versleuteld].
Zelfs al weet jij wie hem heeft gestolen dan moet je nog aantonen dat die telefoon van jou is.
oef!
9 november 2021 11:10
Even een tip terzijde, zet nooit je bsn in je cv. Je ziet het nog best wel vaak voorkomen en het is nergens voor nodig. Ik heb in het verleden veel getest met bsn's en kon ze zo van cv's plukken die ik via Google vond.
divvid
@oef!9 november 2021 16:33
zeg je dat ook tegen al die zzp'ers die tot voor kort nog steeds verplicht hun BSN in de vorm van BTW nummer op hun website moeten zetten?

https://www.belastingdien...mer_vermelden_op_website/
wiezalditzijn
9 november 2021 10:26
Nouja, als AP en dergelijke organisaties gewoon hun werken doen (lees: genoeg geld krijgen om hun geld te doen). Vind ik aanklagen een prima alternatief. Komen ze eens in beweging
Zwaai Haai
9 november 2021 16:11
Dat gegevens, ongevraagd meer dan vier jaar bewaard zijn kan ik bevestigen. Ik heb een mail ontvangen van een Nederlandse klant van Homerun waar ik zomer 2017 gesolliciteerd heb. En zeker geen toestemming gegeven heb tot het bewaren van mijn gegevens. Dat e-mail adres heb ik alleen gebruikt voor die specifieke sollicitatie. Maar ja... in mijn CV staan wel meer persoonsgegevens.
Perrypotter
9 november 2021 19:05
Ik heb zojuist mail gekregen dat ik ook slachtoffer ben (ooit eens gesolliciteerd voor een bijbaan), en dat mijn data te lang is bewaard. Heb nu alleen geen idee wat ik moet doen.. Aangifte?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee