Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens

Criminelen die meerdere Nederlandse woningcorporaties hebben geïnfecteerd met ransomware hebben gegevens van duizenden Nederlanders online gezet. Daarin zitten onder andere kopieën van identiteitsbewijzen en bankgegevens, meldt RTL Nieuws, dat de documenten inzag.

RTL Nieuws zag de data in nadat die op het darkweb verschenen. De data is daar geplaatst door de ransomwaregroep Conti. De gegevens werden buitgemaakt bij The Sourcing Company, een ict-dienstverlener die werkte voor meerdere woningcorporaties in Nederland. Eerder deze week en ook vandaag bleek al dat zeker negen woningcorporaties waren getroffen door die aanval. De dienstverlener zou zijn aangevallen door de Conti-groep en met ransomware zijn geïnfecteerd. De groep heeft daarbij ook gegevens van The Sourcing Company buitgemaakt. De woningcorporaties zeiden eerder al tegen BN DeStem dat er losgeld werd geëist om die gegevens niet te laten uitlekken. Aanvankelijk leek ook DeltaWonen bij die hack getroffen te zijn, maar dat bleek later om een aparte hack te gaan.

RTL schrijft nu dat de gegevens alsnog online zijn verschenen. Het gaat om gevoelige gegevens: RTL vond onder andere kopieën van paspoorten en rijbewijzen. Het is niet duidelijk om hoeveel exemplaren het gaat. De gegevens zouden afkomstig zijn van QuaWonen en in sommige gevallen al sinds 2016 in de systemen staan. Ook zouden er naast NAW- en contactgegevens, ook bankrekeningnummers zijn opgeslagen in spreadsheets. In sommige gevallen ging het ook om burgerservicenummers.

Het is nog steeds niet duidelijk hoe de hackers uiteindelijk bij het ict-bedrijf zijn binnengedrongen. Het bedrijf en de woningcorporaties doen daar nog onderzoek naar.

Reacties (103)

Bockelaar 6 april 2022 17:10

denk dat de Sourcing Company nog wat meer uit te leggen heeft: de grond van de verwerking van die gegevens en de falende maatregelen die je daarbij moet treffen. Wat ze opgeslagen hebben, met een bewaartermijn van 6 jaar (!!??) is denk ik lastig uit te leggen tegen de AP.

Het.Draakje @Bockelaar • 6 april 2022 17:25

Tja, maar de Sourcing Company bepaalt noch wat er opgeslagen wordt, noch de bewaartermijn. Dat doet de woningcorporatie. (Al kan ik me goed voorstellen dat de woningcorporatie dat niet gedaan heeft).

Een ICT dienstverlener mag nooit op het stoeltje van de opdrachtgever gaan zitten. Hooguit adviseren.

Uiteindelijk en betaalt de opdrachtgever voor de opslag (en eventuele schonings- / archiveringsactie's.

Groningerkoek @Het.Draakje • 6 april 2022 18:38

Een ICT dienstverlener mag nooit op het stoeltje van de opdrachtgever gaan zitten. Hooguit adviseren.

En dat ben ik niet met je eens, neem de Elektromonteur en de Loodgieter, de klant kan nog zoveel willen maar als ik een installatie oplever die niet aan de wet voldoet dan is dat ook mijn probleem en kan ik zelfs mijn diploma's/erkenning kwijtraken. Ik zou het dus heel normaal vinden dat als een ICT dienstverlener een systeem oplevert/aanbied met daarin een voorziening aangebracht voor opslag van persoonlijke gegevens, dat men dan ook bepaalde waarborgen omtrent bewaartermijnen en en een bepaalt minimaal niveau van beveiliging aanbrengt.

De klant weet het vaak niet, de dienstverlener boeit het niet en de burger is de lul. Hoog tijd om daar wat orde op zaken te stellen.

derkesthai @Groningerkoek • 6 april 2022 22:36

Ik ben het met je eens maar ik weet niet of je vergelijking helemaal opgaat.

De electromonteur of loodgieter houdt zich niet bezig met de wet, hooguit werkt hij volgens een norm (bijv. de NEN1010 in het geval van de electromonteur) en werkt niet altijd direct voor de eindgebruiker maar voor bijv. een verhuurder of sleutelt aan het eigendom van de netwerkbeheerder.

Het lijkt mij dan ook niet de taak van de monteur om de wetgeving te interpreteren. Net zoals dat dit me niet de taak van de IT dienstverlener lijkt, het lijkt mij de verantwoordelijkheid van de klant dat deze de dienstverlener uitlegt welke standaarden en normen er gebruikt moeten worden.

In de realiteit weet het de klant het ook niet en belooft de ICT dienstverlener dingen die ze niet waar kunnen maken mbt tijd en geld door bijv. te weinig kennis in huis hebben (omdat dat best wel heel specifieke kennis is). Eigenlijk zouden deze oplossingen met enige regelmaat geaudit of gekeurd moeten worden, net zoals gebeurt bij elektrische installaties.

Groningerkoek @derkesthai • 6 april 2022 23:10

De wet zegt je moet voldoen aan het bouwbesluit, het bouwbesluit zegt je moet voldoen aan de NEN 1010

Dus als monteur houdt je je bezig met dingen die door de wet verplicht zijn al dan niet in de vorm van een wettelijk verplichte norm. Voldoet een E-installatie niet aan de NEN 1010, dan voldoet hij ook niet aan het bouwbesluit en aldus ook niet aan de wet. En zo zijn er veel meer normen waar ik afhankelijk van de exacte werkzaamheden aan moet voldoen van de wet.

Er ligt dus een heel boekwerk waar de monteur wettelijk aan moet voldoen.

Bij iemand die software ontwikkeld in opdracht is het echter bijna een wildwest situatie en is de klant in beginsel volledig verantwoordelijk dat gegevensbeheer aan de wet voldoet en afdoende beveiligt is. We zien ook dat hier heel veel fout gaat, mij lijkt het logisch dat er een norm komt voor softwareontwikkelaars aangaande sommige dingen zoals omgang met persoonlijke gegevens, veiligheid van de software. Natuurlijk kan de softwareontwikkelaar niet alles doen, maar hij kan wel zorgen dat hij met de klant een systeem ontwikkeld welke aan de wetgeving voldoet. Paspoortscans zoals voor de VVE procedure dienen na deze procedure verwijderd te worden, waarom worden zulke kopieën niet verplicht gekoppeld aan een dossier en als dat dossier is afgehandeld wordt dergelijke informatie automatisch eruit gegooid?

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 14:48]

F-I-X @Groningerkoek • 6 april 2022 23:36

De wet zegt je moet voldoen aan het bouwbesluit, het bouwbesluit zegt je moet voldoen aan de NEN 1010

Daar zit het met software dus anders. Er bestaat voor software geen "bouwbesluit" want je zegt ook terecht dat het bouwbesluit in zijn normale omgeving andere "wetten" en standaarden afdwingt. Het bouwbesluit is ook mede opgericht om de uiteindelijke gebruiker, een gewone burger zonder kennis, te beschermen.

Zo'n verplichting voor software bestaat niet. Daar is het de opdrachtgever die bepaald en geacht wordt deze volgens de wetgeving te laten uitvoeren. Hij wordt daarbij ook geacht de kennis te hebben om dat af te dwingen aan de maker.

Hoe mooie regels je ook verzint, niet alles is af te vangen zonder het nodeloos complex te maken.
Maar je hebt gelijk dat er misschien hier ook wetgeving voor gemaakt moet worden die bij het verwerken van persoongegevens minimale eisen oplegt. Alleen uitgaan van wat er bestaat als norm is niet voldoende.

Groningerkoek @F-I-X • 7 april 2022 00:03

"Daar zit het met software dus anders."

En dat bedoel ik dan ook met Wildwest, behalve wetten waar men met de opslag/verwerking van gegevens aan moet voldoen is er verder eigenlijk helemaal niets geregeld. Bij Elektro zit je bijvoorbeeld met aanwijzingen voor installatieverantwoordelijke met allemaal regels en verantwoordelijkheden e.d. maar wat betreft gegevensverwerking mag het 12-jarig zoontje van de baas een database optuigen, brakke front-end ervoor, pa denkt dat zoonlief het allemaal wel fixed verder, zoonlief is blij van die brakke zooi af te zijn en er is echt helemaal niets geregeld waar iets aan moet voldoen. Waar zijn normen omtrent gescheiden houden van bepaalde gegevens, waar zijn normen omtrent minimale vormen van encryptie en beveiliging. Waar is een norm dat een bedrijf procedures en een verantwoordelijke moet hebben die veiligheidsupdates bijhoudt. Waar is een norm omtrent minimale scholing gebruikers. Er is echt helemaal niets, en dat verbaast mij. En nee je kunt niet alles in regels gieten, en ja sommige dingen worden complexer maar dat lijkt mij vooral gewenning, in de industrie en bouw stikt het van de regels en protocollen en daar was een hoop protest en onbegrip toen dat circus echt begon te draaien maar inmiddels zijn we er allemaal aan gewend geraakt en is een bouwplaats niet meer zoals 40 jaar geleden een verzameling van mannen waarvan menigeen 1 of 2 vingers miste en rugpijn eerder de standaard was dan de uitzondering.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 14:48]

derkesthai @Groningerkoek • 7 april 2022 08:00

Ik ben het met je eens hoor, er zouden best meer normen mogen bestaan in de ICT.
Er zijn heus wel wetten en normen/protocollen, de AVG, het gebruik van bijv. bepaalde koppelingen zoals DigiD

maxxer29 @Groningerkoek • 7 april 2022 01:28

Beetje kromme vergelijking , je kan nog altijd in je huis een lamp ophangen die niet aan de CE markering voldoet. Daarnaast kun je in de bouwmarkt ook gewoon kroonsteentjes kopen en draad.

Raymond Deen @Groningerkoek • 7 april 2022 11:13

Ben het met je eens hoor, mara vooral erg nieuwsgierig hoe het komt dat nu nog steeds blijkbaar systemen niet aan de wetgeving voldoen.

Er zijn al zó veel schandalen geweest en nog steeds zijn er partijen waarbij de betrokkenen niet achter hun oren krabbelen terwijl ze weten (de tijd van sterk vermoeden is wel voorbij imho) dat wat ze doen toch echt niet mag? Dan zijn blijkbaar de gevolgen voor die partijen niet stevig genoeg (boetes en steviger maatregelen) om de bezem eens door hun systemen te halen...

Groningerkoek @Raymond Deen • 7 april 2022 14:28

Zelf denk ik dat er helaas nog steeds een zeer grote onwetendheid is omtrent wat wel en niet mag, combineer dat met dat veel bedrijven hun personeel niet bijscholen hierin en geen protocollen hebben verstrekt aan hun werknemers hoe bijvoorbeeld met paspoortscans om te gaan en vaak is er helemaal niemand bij het bedrijf die hier controle op uitoefent. Als ik naar mijzelf kijk, bij een fabriekstop hadden wij een 100 extra krachten. Die moesten allemaal een minimaal opleidingsniveau hebben en in het bezit zijn van VCA (of die cursus echt geweldig is opgezet is een andere discussie), die mensen kregen eerst een voorlichtingsbijeenkomst over onze manier van werken, over onze specifieke gevaren en over onze veiligheidsregels en procedures voordat zij aan het werk mochten. En daarnaast hadden we 2 veiligheidsinspecteurs ingehuurd die niets anders deden dan rondlopen en controleren of iedereen zich aan de regels hield.

Hoe moeilijk zou het nu echt zijn als je personeel dat omgang met persoonlijke gegevens heeft een cursus aanbied, met een jaarlijkse opfriscursus. Daarnaast kun je als bedrijf een keer een extern iemand huren (of een intern iemand benoemen) die om de zoveel tijd een paar uur over de werkvloer loopt en in gesprek gaat met werknemers hierover. Natuurlijk het voorkomt niet alles, maar het zorgt wel dat iedereen de regels kent en ook dat een ander af en toe kijkt hoe men ermee omgaat.

Raymond Deen @Groningerkoek • 7 april 2022 23:31

Je kunt je niet altijd achter onwetendheid blijven verschuilen. Het is zó vaak in het nieuws dat er toch een keertje een kwartje moet vallen bij je als je als werknemer in een situatie bent die misschien niet klopt. En dan ga je dat toch gewoon eens uitzoeken?
Het zijn gewoon bedrijven hoor en niet een soort van hobby clubjes dus die hebben gewoon goede toegang tot juridische kennis. Bedrijven die met persoonsgegevens werken, zijn volgens mij zelfs verplicht om hun auditing op orde te hebben.

Groningerkoek @Raymond Deen • 7 april 2022 23:39

En toch zie je dat als werknemers fouten maken en een werknemer wil iemand daarom ontslaan o.i.d. dat een altijd terugkerende vraag is: Kan de werkgever aantonen dat de werknemer dit had moeten weten? En een antwoord als "heeft 100 maal op Tweakers en in de krant gestaan" is alles behalve voldoende hiervoor. En dan de andere vragen, welke voorlichting en instructies geeft het bedrijf, welke protocollen heeft het bedrijf, wat staat er in het handboek etc..

bed76 @Groningerkoek • 7 april 2022 11:35

Maar er is een verschil, een vrij groot verschil; the Sourcing company host alleen het ERP systeem waar de gegevens in staan opgeslagen. Zij leveren niet de ERP software. Ze zijn dus alleen verantwoordelijk voor de toegang van de bekende BVI (Beschikbaarheid, Integriteit en Vertrouwelijkheid) van de gehoste software niet voor welke data de klant opslaat in die software.

Dus dat de woningstichting geen bewaartermijn heeft gehanteerd of nageleefd, wat in bijna elke ERP pakket kan in die markt (ik heb 10+ jaar in die sector gewerkt). Of data heeft opgeslagen die ze helemaal niet op mogen slaan, is echt geen fout van de ERP- of ICT-leverancier.

Het feit dat ze gehacked zijn, zijn ze wel verantwoordelijk voor, maar niet voor de data die de individuele woningstichtingen hebben opgeslagen.

edit typos

[Reactie gewijzigd door bed76 op 23 juli 2024 14:48]

Groningerkoek @bed76 • 7 april 2022 14:18

Maar natuurlijk, maar de opmerking "Een ICT dienstverlener mag nooit op het stoeltje van de opdrachtgever gaan zitten. Hooguit adviseren." is veel breder dan alleen een bedrijf dat serverruimte verhuurt.

HSG @bed76 • 9 april 2022 10:02

ERP-pakket van een bedrijf uit Emmen?

bed76 @HSG • 12 april 2022 12:22

Ja ook, maar ook bij een corporatie zelf

Kansloze zaak @Groningerkoek • 7 april 2022 17:27

De elektromonteur legt de leiding aan conform regelement (IT diensverlener levert storage).
Klant bepaald hoeveel stroom erdoorheen gaat en hoe lang (klant bepaald hoeveel hij op slaat en hoe lang)

Prima vergelijking, maar dan moeten wel de juiste dingen vergeleken worden :-)

Groningerkoek @Kansloze zaak • 7 april 2022 17:41

Elektromonteur legt installatie aan volgens regelgeving en bepaald derhalve de maximum stroomsterkte die op de leiding kan staan door middel van aangebrachte veiligheden en zorgt er daarmee voor dat de leiding tenzij andere defecten optreden nooit kan doorbranden.

Klant bepaalt dus alleen hoeveel stroom er kan lopen binnen de door de monteur aangebrachte grenzen.

En nu?

Daarnaast begrijpt iedereen wel dat ik het niet heb over een dienst die alleen maar servers/ruimte verhuurt en er verder niet bij betrokken is.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 14:48]

i-chat 6 april 2022 16:53

Ik zou juist stellen dat centralisatie in deze alleen maar beter is

Als je straks maar één platform hebt voor je e-id dan kan daar een hele sloot geld heen met regelmatige audits goede systemen en capabel personeel

Nu doet elke woningstichting of tandarts maar zo’n beetje wat en let men vooral op kosten en functionaliteit en totaal niet op veiligheid en conformiteit aan wet en regelgeving

Dus geen kopietjes meer van rijbewijzen op een onbeveiligde windows share oid

Overigens hoop ik dat er wel een grootschalig onderzoek komt naar deze gang van zaken- dat dit bedrijf tot nader onderzoek geen gevoelige data mag verwerken én dat en nu eindelijk eens een wet komt die een nieuw id aanvragen mogelijk maakt

Immers eens op straat blijft op straat

[Reactie gewijzigd door i-chat op 23 juli 2024 14:48]

webfreakz.nl @i-chat • 6 april 2022 16:56

Totdat die centrale versie gehackt wordt dan is de impact nog groter.

Zebby @webfreakz.nl • 6 april 2022 17:04

De overheid heeft dit al, dus het risico is er. Met DigiD kun je zo al veel zaken delen, en als de bedrijven de benodigde data kunnen verifiëren zonder het op te hoeven halen en op te slaan is dat alleen beter. De minder versies er bestaan de veiliger het is. En ik ben iemand die kritisch is over de dienstverlening van onze overheid op IT vlak, maar de meer partijen samenwerken (EU verband) en zolang het open source is, de beter het wordt..

Dat deze data niet eens encrypt opgeslagen zijn is gewoon nalatigheid, en daar mogen ze fors voor aangepakt worden wat mij betreft. Dat ook die data ooit decrypt kan gaan worden is natuurlijk een probleem, maar een voor later...

The Realone @webfreakz.nl • 6 april 2022 17:34

Echter, voor jou persoonlijk maakt het geen klap uit. Of jouw gegevens nu alleen buitgemaakt zijn of nog een 1 miljoen anderen naast jou.

CypressGTX @The Realone • 7 april 2022 13:30

Eigenlijk zou je op een ID kaart ook een pincode moeten hebben om te verifieren dat jij het bent.
Ik kan met een ID eigenlijk teveel als ik er een vindt op straat.

R4gnax

Datalek

@webfreakz.nl • 6 april 2022 18:01

Totdat die centrale versie gehackt wordt dan is de impact nog groter.

Impact hoeft eigenlijk helemaal niet groot te zijn. Enige wat je moet kunnen doen is iedereen van nieuwe nummering voorzien.

Dat vereist dat je geldigheid van een nummer moet laten samenvallen met een uiterste verwerkingsdatum, en dat één persoon meerdere identificatienummers aan zich gekoppeld kan hebben gehad over de loop van hun leven. Niet veel anders dan nummerborden op auto's, eerlijk gezegd.

Het probleem is meer alle andere overheidssystemen die daar compleet niet op ingericht zijn, mede omdat overal te onpas het BSN als hard-coded unieke identifier gebruikt wordt, tot aan database primary keys toe, en deze aangenomen is rotsvast en onveranderlijk te zijn.

[Reactie gewijzigd door R4gnax op 23 juli 2024 14:48]

fre0n @i-chat • 7 april 2022 01:29

Kopietjes van id bewijzen maken of vragen is inmiddels sowieso al verboden natuurlijk. Dus die horen dab ook niet op een systeem van een bedrijf te staan. Maar je hebt een goed punt mbt een standaard en centraal systeem. +1

F-I-X @i-chat • 6 april 2022 23:41

Goed idee zou je zo denken... ik ben er ook voor.

Het is dan wel een hele vette worst die je voor de hacker ophangt. Niet dat dat meteen een probleem is alleen maakt dan het gebruik een probleem... de zwakste schakel is meestal de gebruiker en met zon hoeveelheid gegevens zullen er ook enorm veel mensen bij moeten.

Maar goed, een stel knappe, duur betaalde, experts zou geen probleem moeten zijn zolang de managers en uitgerangeerde politici maar uit de top van deze overheidsdienst blijft.

adje123 6 april 2022 16:42

Ja, laten we dan vooral een Europees Digitaal ID nemen. Lekker veilig online.

Drogo @adje123 • 6 april 2022 17:04

Bijzondere reactie bij een nieuwsbericht waaruit blijkt dat het bedrijfsleven harder faalt dan de overheid.

Harrie_ @Drogo • 6 april 2022 17:32

Woningcorporaties zijn veelal stichtingen en bevinden zich op het vlak van semi-publiek, dus ik zou dit niet echt aan willen duiden als "het bedrijfsleven"

Drogo @Harrie_ • 6 april 2022 22:49

Die woningcorporaties zijn klanten van een falende ict-leverancier.

Raymond Deen @Drogo • 7 april 2022 11:15

De woningcorporaties slaan toch echt zelf die gegevens op. Dat de leverancier dit faciliteert doet daar niets aan af.

Het.Draakje @Harrie_ • 6 april 2022 17:57

Het zijn en waren gewoon stichtingen van de belanghebbenden. Niets (semi-) overheid. Integendeel. https://nl.wikipedia.org/wiki/Woningcorporatie

Dat in latere jaren de overheid een deel van het takenpakket financiert wil niet opeens zeggen dat het wel een (semi-) overheid wordt.

Harrie_ @Het.Draakje • 6 april 2022 18:33

Ik zeg ook niet dat woningcorporaties semi-overheid zijn, jij leest mijn post verkeerd. Misschien moet je je maar eens in de materie gaan verdiepen i.p.v. een wikipediapagina op te snorren.

mbooij @Harrie_ • 6 april 2022 21:30

Woningcorporaties zijn wel degelijk semi-overheid hoor. Denk hierbij aan de woningwet maar ook de staatssteun door financiering via de gemeentelijke bank. Er is ook niet voor niets een ministerie en een minister (die overigens informatiebeveiliging zelf niet zo serieus neemt bleek vandaag).

Harrie_ @mbooij • 7 april 2022 07:22

Helemaal mee eens, maar daarom zeg ik ook bewust "[ze] bevinden zich op het vlak van semi-publiek", juist door de constructie via de woningwet schuren de woningcorporaties heel dicht tegen een publieke instelling aan. @Het.Draakje hierboven heeft echter een wikipedia-pagina gelezen en denkt dat het anders in elkaar steekt...

Zebby @adje123 • 6 april 2022 16:59

Dat moet dan o.a. voldoen aan de eIDAS normen, en die zijn tamelijk streng. Ook worden dan alle partijen die daarmee willen werken hoogstwaarschijnlijk jaarlijks geaudit, net als bij een DigiD aansluiting nu.
Dus ja, in principe wel.

bzzzt @Zebby • 6 april 2022 17:07

Eigenlijk wel raar omdat het alternatief (scan van je paspoort opsturen) stukken minder veilig is. Ik vraag me ook wel af wat de motivatie is om DigiD zo streng te beveiligen. Uiteindelijk komt er gewoon een 'ja, dit is Pietje' bewering uit die een site kan vertrouwen. Het is een beetje alsof iedere hotelreceptionist die om paspoorten vraagt een volledige AIVD screening moet hebben...

Wolfos @bzzzt • 6 april 2022 17:36

Hotels mogen eigenlijk helemaal geen kopie van je paspoort maken. Er zijn maar weinig organisaties die daadwerkelijk toestemming hebben om je BSN te verwerken en hotels horen daar niet bij.

bzzzt @Wolfos • 6 april 2022 17:42

Klopt, maar als jij na een lange reis in je mediterraanse hotel aankomt ga je geen stennis lopen schoppen als je daardoor op straat mag slapen.
(ik heb ook wel begrip voor de andere kant: hotels en andere verblijflocaties willen ook wel met enige zekerheid weten wie de klanten zijn (geweest) om eventueel schade of wangedrag te kunnen claimen)

Wolfos @bzzzt • 6 april 2022 18:06

Ze mogen ook wel om je paspoort vragen en gegevens noteren (is zelfs verplicht), alleen geen kopie maken.

[Reactie gewijzigd door Wolfos op 23 juli 2024 14:48]

HSG @Wolfos • 9 april 2022 10:04

Ze mogen wel een kopie maken van je ID mits het BSN-nummer er niet op staat. Ik heb een ID-kaart waar mijn BSN -nummer op de achterkant staat.

R4gnax

Datalek

@Zebby • 6 april 2022 17:58

Hopelijk beter dan bij allerlei andere koppelingen met en tussen overheidsinstanties, dan.
Heb zelf een geval gehad waar ik vanuit een gemeentelijke instantie geregeld verkeerd geaddresseerde aanmaningen en uiteindelijk incasso-dreigingen kreeg. Bleek dat er ergens een gecontracteerde verwerker was die gewoon tegen de regels in een complete lokale kopie van de gemeentelijke addres gegevens in gebruik had staan. Een minstens 10 jaar oude kopie zelfs, aangezien ik tot aan tien jaar terug weet wie er op mijn huidige adres heeft gewoond.

Wat bij gevolg dus wil zeggen dat ze in geen 10 jaar tijd middels een audit op compliance gecontroleerd zijn; of dat de audits in kwestie compleet een wassen neus geweest zijn.

bluefish007 @adje123 • 6 april 2022 16:46

Inderdaad, want dan heb je een veilig alternatief voor het insturen van een kopie van je paspoort.

rickiii

@bluefish007 • 6 april 2022 17:16

Zo zie ik het niet. Op het eerste gezicht wel, waar je data minimalisatie kunt toepassen.

Toch zal dat volgens mij niet zo snel lopen. Vaak willen instanties en organisatie (dan wel vanwege wettelijke verplichting, dan wel vanwege data hoarding) dezelfde informatie alsnog, maar dan gekoppeld aan een identifier waar andere data ook aan gekoppeld is die je ergens anders bij andere instanties en websites moet opsturen.

Meer en meer data - tot op audit trail niveau en individuele acties - zal vervolgens gekoppeld kunnen worden aan dezelfde identifier en kan nog meer data over je verzameld worden en dus uitlekken.

i-chat @rickiii • 6 april 2022 17:30

Das natuurlijk een beetje een onzin redenering

Het klopt dat bepaalde instanties gegevens zoals idbewijzen moeten verwerken of opslaan

Daartegenover staat dat daar een grondslag voor is zodra die grondslag (bijvoorbeeld fraude preventie) vervalt omdat er een certraal alternatief is vervalt dus de noodzaak en daarmee zelfs de wettelijke rechtvaardiging dan gaat er dus ook een streep door die verplichting ten gunste van een eenmalige loging token oid

bluefish007 @rickiii • 6 april 2022 19:33

Dat hangt geheel af van de implementatie uiteraard. Ik stel ook niet dat ik volledig voorstander ben van de Europese digitale identiteit, of dat er geen haken en ogen aan zitten.

Maar sec op deze use case:
a) Je identificeert je online met een woningcorporatie door een kopie paspoort te uploaden
b) Je identificeert je online met een woningcorporatie met je DigiD (of Europese id)

Lijkt b) me de betere optie.

Vinez Initez 6 april 2022 17:30

Wat ik meest vervelend vind, is dat toen ik mijn huis ging huren en ik een kopie van mijn ID moest sturen. ik toen netjes de app van de rijksoverheid gebruikt had maar dit kopietje niet geaccepteerd werd door de verhuurder omdat er een "watermerk" op geplaats was. Zelfs na meerdere keren aandringen helaas toch maar een normale kopie verstuurd.

Ik vind persoonlijk dat deze onderneming het gevraagde losgeld had moeten betalen. Het zijn niet hun gegevens dus het intreseerd ze geen niks of het op straat beland. Als jij je huur maar betaald en zij een paar euro kunnen besparen op de beveiliging.

Ik mag hopen op een flinke boete van uit Autoriteit Persoonsgegevens. Het moet eens tijd worden dat bedrijven hun zaken goed beveiligen ipv van achteraf de boel op te lossen.

Ik vraag me ook af of de gedupeerden op enige wijze zullen worden gecompenseerd voor het publiceren van privedata en/of eventuele gevolgen welke hieruit zullen ontstaan.

/rant

Ik moet ook erg lachen als ik de website van thesourcingcompany.nl zie.... aan de vacatures te zien een bedrijf wat erg om zijn medewerkers geeft hahaha "Een marktconform salaris".

[Reactie gewijzigd door Vinez Initez op 23 juli 2024 14:48]

mfkne @Vinez Initez • 6 april 2022 17:46

Ik mag hopen op een flinke boete van uit Autoriteit Persoonsgegevens. Het moet eens tijd worden dat bedrijven hun zaken goed beveiligen ipv van achteraf de boel op te lossen.

Nee, het is tijd weg te gaan van de boetes. Want die betalen uiteindelijk de reeds gedupeerden zelf. Het wordt tijd om van dit soort taferelen strafbare feiten te maken en de directeuren/CEO's/you name it persoonlijk aansprakelijk te stellen.

Groningerkoek @mfkne • 6 april 2022 17:56

Er is hier helaas een tegenstrijdigheid, aan de ene kant wil je dat bedrijven zo goed mogelijk hun best doen om te beveiligen, dit bereik je met zo hoog mogelijk straffen. Aan de andere kant wil je ook dat bedrijven melding maken van gelekte data en dat bereik je het beste met zo laag mogelijk straffen. Er moet dus een balans worden gevonden.

Denk je in dat jij manager/bedrijfsleider bent en je krijgt de keuze: "Betalen met de centen van de zaak en we hebben het er niet meer over" of "niet betalen, keurig melden en de bak in"

Lijkt mij een gemakkelijke keuze.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 14:48]

mfkne @Groningerkoek • 6 april 2022 18:09

Daar heb je gelijk in.
Maar als en lek gebeurd en publiek wordt maar niet is gemeld, gewoon dubbele straf?

Groningerkoek @mfkne • 6 april 2022 18:14

Bij aantoonbaar bewust verzwijgen mag een eventuele boete om mij rustig 5x over de kop, en er mag om mij ook rustig een minimum bedrag worden gesteld in zulke situaties. Moedigt anderen ook aan om te melden.

bed76 @Groningerkoek • 7 april 2022 11:49

Volgens mij heeft the sourcing company dit gewoon keurig gemeld. Alleen hebben de woningstichtingen data (kopie ID*) opgeslagen die niet had gemogen in de door the sourcing company gehoste ERP systemen.

* ik heb gewerkt in deze sector, en ze hoeven het kopie ID helemaal niet op te slaan, een vinkje in het ERP systeem dat de persoon inderdaad is, wie dat hij/zij zegt wie hij is, zou afdoende moeten zijn na visuele conformatie. Een nieuwe huurder moet zich namelijk wel identificeren en een (groot) deel van de huurders moet ivm communicatie met Belastingdienst over de huurtoeslag ook hun BSN doorgeven, alleen dat is in principe eenmalig en zou na verificatie weer verwijderd moeten worden. Dat laatste gebeurd ook vaak niet direct.

Groningerkoek @bed76 • 7 april 2022 14:12

Het was meer een algemene opmerking.

Hek030 @Vinez Initez • 7 april 2022 21:23

Ik moet ook erg lachen als ik de website van thesourcingcompany.nl zie.... aan de vacatures te zien een bedrijf wat erg om zijn medewerkers geeft hahaha "Een marktconform salaris".

Euhm, wat moet je anders bieden? Een niet-marktconform salaris? Gouden bergen?

Triblade_8472 6 april 2022 16:48

Er staat nergens of de gekopieerde paspoorten/ID-bewijzen van gevoelige gegevens ontdaan zijn bij het opslaan. Ik gok van niet.

Ook hoop ik van harte dat ze een hele dikke boete van de AP gaan krijgen voor het te lang bewaren ervan.

Christoxz @Triblade_8472 • 6 april 2022 16:53

Bron:

Een enkele kopie is voorzien van een watermerk

Klinkt voor mij alsof gevoelige informatie op het grootste deel gewoon nog staat.

Tomatoman @Christoxz • 6 april 2022 21:19

Dat hangt er maar net vanaf wat er bedoeld wordt met ‘een enkele kopie’. Als het gaat om welgeteld één enkele kopie tussen de gegevens van duizenden huurders, dan valt het wel mee. Als ermee wordt bedoeld dat het om een kleine minderheid van een groot aantal kopieën gaat, wordt het een ander verhaal.

DarkForce @Triblade_8472 • 7 april 2022 01:24

Ook hoop ik van harte dat ze een hele dikke boete van de AP gaan krijgen voor het te lang bewaren ervan.

Zoals elders al gezegd is, daarmee heb je de organisatie niet maar de huurders.

Laat ik het je zo zeggen, wat jou betreft mag de huurder dubbelop de kolere genieten. Niet alleen is privacygevoelige data op straat komen te liggen maar wat jou betreft mogen ze ook opdraaien voor de boete doordat een woningbouwvereniging niet 50% maar gewoon de volle 100% van de jaarlijkse huurverhoging gaan rekenen. Die boete moet ergens van betaald worden, de schade moet zoveel mogelijk worden beperkt en dus draait de huurder er gewoon voor op.

Even kijkende naar de woningstichting hier waar ze druk bezig zijn met isoleren en zonnepanelen op huurwoningen plaatsen zodat mensen nog enigszins geld kunnen besparen op hun elektriciteit.... die investeringen gaan ze natuurlijk staken omdat ze die boete die jij ze graag ziet betalen moeten betalen. Dan nog niet gesproken over het kleine beetje percentage dat ook jij als mogelijke niet-huurder er ook voor opdraait aangezien woningbouwverenigingen ook nog een stuk subsidie krijgen vanuit het rijk.

Al met al... leuk die boete, maar daar bereik je geen ruk mee.
Wat ze beter kunnen doen in huurders schadeloos stellen, huurders die op een geheim adres wonen een andere woning aanbieden etc. etc.

Triblade_8472 @DarkForce • 7 april 2022 08:17

Die boete moet je sowieso geven. Maar ja ik heb liever dat de bestuurders persoonlijk aangepakt worden. Bestuurders verdienen namelijk meer omdat zij zogenaamd risico dragen, al zie ik dat risico nooit terug...

bed76 @DarkForce • 7 april 2022 11:52

Nee hoor de maximaal wettelijk huurverhoging wordt jaarlijks vastgesteld en die lag normaliter rond 3-4%. Dus de verhuurders kunnen niet alle kosten verhalen op de huurders. Gelukkig maar, alleen zou de bestuurder inderdaad wel persoonlijke consequenties moeten ondervinden van het verkeerd opslaan van data.

DarkForce @bed76 • 7 april 2022 12:27

Nee hoor de maximaal wettelijk huurverhoging wordt jaarlijks vastgesteld en die lag normaliter rond 3-4%.

Klopt er wordt een wettelijk maximum bepaald, de verhuurder bepaalt vervolgens zelf of ze dat maximum toepassen of eronder gaan zitten. Er zijn niet heel veel verhuurders die uiteindelijk met het maximum verhogen, in tegendeel... het merendeel doet dit juist niet.

lighting_ 6 april 2022 16:56

Het is het fout van systeem en beleidsbepalers dat er makkelijk met kopieen van je ID en gegevens fraude kan ontstaan.

[Reactie gewijzigd door lighting_ op 23 juli 2024 14:48]

Anoniem: 84997 @lighting_ • 6 april 2022 17:06

Precies wat ik dacht. Het is eigenlijk waanzin dat alleen met een kopie van een ID fraude kan worden gepleegd. Er moeten databases rondzwerven van 1 miljoen zzp'ers met hun bsn-nummer (voorheen gelijk aan btw-nr).

Maar goed, 'k ben (gelukkig

) verder niet heel bekend met het probleem.

MischaBoender @lighting_ • 6 april 2022 17:13

Inderdaad, en daarmee kom je weer terug bij bedrijven / instellingen die genoegen nemen met een kopie van een ID als identificatie. Je hoort tegenwoordig weinig meer dat je ergens naar toe moet om je in-presoon te identificeren.

Hadden we nou toch maar een gedegen electronisch middel ter identificatie waar iedereen op kon meeliften.

ernstoud

6 april 2022 17:13

Een ID gebruik je voor dat waar de afkorting voor staat… voor identificatie. Zodra je dat gedaan hebt ben je klaar. Er is geen enkele reden om een kopie van een ID bewijs op te slaan.

Ik hoop dat de AP dit bedrijf een forse boete geeft… als ze de “verantwoordelijke” zijn. Ik denk nl. dat ze dat niet zijn, maar de “verwerker” dus. In dat geval moeten die woningstichtingen beboet worden. En met de afspraken in de verwerkers overeenkomst in de hand - als TSC fouten gemaakt heeft - dan naar de rechter om genoegdoening en schadevergoeding te krijgen.

bed76 @ernstoud • 7 april 2022 11:55

TSC slaat geen data op, dat doen de woningstichtingen, die zijn verantwoordelijk voor het opslaan van kopieën van ID's. TSC host alleen maar de data en zij zijn verantwoordelijk dat ze gehacked zijn, maar niet voor welke data de woningstichting (verkeerd) opslaat in hun ERP.

segil 6 april 2022 17:26

@TijsZonderH je mist wel belangrijke informatie uit het RTL artikel:

In de door Conti gepubliceerde data zijn kopieën van paspoorten en rijbewijzen te vinden die kunnen worden misbruikt voor identiteitsfraude. Het gaat om kopieën die werden gebruikt als iemand wilde toetreden tot een Vereniging van Eigenaars (VvE) van één van de gebouwen van de woningcorporatie.

De gestolen kopieën zijn afkomstig uit de systemen van QuaWonen, sommige kopieën stammen zelfs uit 2016. Een woordvoerder erkent dat QuaWonen 'veel te lang' kopieën heeft bewaard en dat ze deze gegevens direct na de VvE-inschrijving hadden moeten verwijderen: "Daar zitten we fout." De kopieën worden nu verwijderd en de gedupeerden geïnformeerd.

Naast kopieën van paspoorten zijn ook bankgegevens van huurders door Conti gelekt.

Als ik dit goed interpreteer, dan geldt de lek van paspoorten/rijbewijzen alleen voor VVE leden. Ik als huurder ben geen VVE lid. Ik zou stellen dat de meeste bewoners van deze woningcorporaties geen VVE lid zijn, alleen wanneer ze een woning gekocht hebben van de corporatie. In ons complex is ook een aantal bewoners eigenaar van hun woning en hebben ze de mogelijkheid om plaats te nemen in de VVE.
Van huurders kan hun bankgegevens zijn gestolen en BSN nummers. Ook zeer vervelend, maar tikkeltje minder erg nog dan een rijbewijs/paspoort.

[Reactie gewijzigd door segil op 23 juli 2024 14:48]

Het.Draakje @segil • 6 april 2022 17:31

De hack gaat over 9 woningcorporaties (voor zover bekend). En als bewijs van de hack is een deel van de gegevens gepubliceerd. Het is niet verstandig om daaruit te concluderen dat jouw (als niet VVE van QuaWonen) dus niet bekend zijn. De rest van de gestolen gegevens zijn alleen niet gepubliceerd.

DarkForce @segil • 7 april 2022 01:30

Van huurders kan hun bankgegevens zijn gestolen en BSN nummers. Ook zeer vervelend, maar tikkeltje minder erg nog dan een rijbewijs/paspoort.

En welke gegevens heb je nodig voor het aangaan van "noem willekeurig abonnement" ?

Juist de gegevens waarvan jij zegt dat het minder erg is, met diezelfde gegevens kan je daarnaast doodeenvoudig flits kredieten en leningen afsluiten daar een (groot) deel van die verstrekkers niet letterlijk om een ID vragen.

Wist je trouwens dat met alleen al die gegevens een ID bewijs kan worden gemaakt? Het ID nummer wordt n.l. niet gecontroleerd, een kredietverstrekker bijv. controleert alleen de naw gegevens al dan niet in combinatie met het BSN.

segil @DarkForce • 7 april 2022 08:43

Klopt... en aan de andere kant zijn er ook producten/diensten waarbij je een scan van je id kaart moet opsturen. Dan heb je niet genoeg aan een bsn/banknr.

Of bedoel dat je een id kaart kan vervalsen met een ander bsn nr erop? Dan mis je nog wel een pasfoto. Maar wellicht is het wel te doen.

[Reactie gewijzigd door segil op 23 juli 2024 14:48]

Bitzer 6 april 2022 17:28

Woningcorporaties dwingen woningzoekenden al bij voorbaat tot het uploaden van hun persoons en financiële gegevens. De woningzoekende word onder een enorme druk gezet, men moet bij een woningaanbieding vaak binnen 24 uur de gegevens aanleveren op straffe van uitsluiting.

Van inzicht in de mogelijke gevaren hebben Woningcorporaties echt geen enkel benul, zij leven in geheel eigen wereld.

PhilipsFan @Bitzer • 7 april 2022 01:44

Inderdaad. Hier zou een wet voor moeten komen met zeer hoge boetes. Het slaat helemaal nergens op dat een verhuurder een kopie van je id-bewijs opslaat. Dat ze willen weten wie je bent is logisch, maar daarvoor kun je gewoon even langskomen, je id laten zien en de medewerker kan vervolgens controleren of je het echt bent en dat in het systeem vastleggen.

Ook hoeft een verhuurder absoluut geen gegevens te hebben over je inkomen, gezinssituatie etc. Ik begrijp niet dat we dit toestaan. De verhuurder heeft er namelijk geen flikker mee te maken wat voor werk ik doe, of ik een vast contract heb etc. Zolang ik de huur op tijd betaal is er niks aan de hand, en als ik dat niet doe zijn daar procedures voor. Leg gewoon in de wet vast dat een verhuurder dit soort gegevens niet MAG verzamelen en dat ze een miljard boete krijgen als ze het toch doen.

PaT Moderator Mobile @PhilipsFan • 7 april 2022 06:50

Wel eens van sociale huur gehoord? Dat zijn woningen waar een maximaal inkomen voor geldt. En als de corporatie vervolgens aan Jan en alleman gaat verhuren, dan negeren ze hun oorspronkelijk doel.

Ook verwacht ik, maar dat weet ik niet zeker, dat het wel of niet krijgen van huursubsidie gekoppeld zal zijn aan gegevens vanuit de corporaties.

En ook ter voorkoming dat illegaal verkregen inkomen gebruikt wordt om de huur 'te betalen moet die corporatie weten waar je werkt en wat je ongeveer verdient.

Jouw stelling is dus iets te eenzijdig. Ook woningbouwverenigingen moeten aan een lange lijst van (landelijke) regeltjes voldoen.

PhilipsFan @PaT • 7 april 2022 12:04

Ja, voor sociale huur geldt inderdaad een uitzondering omdat daar een wettelijke grondslag voor is. Maar ik heb het meer over de vrije sector, waar maar raak eisen kunnen worden gesteld aan de huurder ('borg is 2 maanden huur', wtf), daar zou de wetgever wat duidelijkheid in moeten scheppen.

david-v

6 april 2022 18:08

Het gaat om gevoelige gegevens: RTL vond onder andere kopieën van paspoorten en rijbewijzen

Daar gaan we dan.

Een organisatie mag uitsluitend een volledige kopie of scan van iemands identiteitsbewijs maken als de organisatie daartoe wettelijk verplicht is. Een volledige kopie of scan betekent dat alle persoonsgegevens zichtbaar zijn.

Volgens mij is een woningcorporatie dat niet wettelijk verplicht, of wel?. Zo niet, dan graag een boete leggen aan alle woningcorporaties die dat alsnog wel doen.

Ik wordt er een beetje moe van hoe vaak om een kopie van het paspoort of rijbewijs gevraagd wordt en deze volledig wordt opgeslagen. En ja, dan gaat het dus goed mis, net zoals hier....zucht

Op dit item kan niet meer gereageerd worden.

Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens

Lees meer

Reacties (103)

Sorteer op:

Weergave: