Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen door datalek

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat kwam door een kwetsbaarheid in de eigen app van de partij, die dit weekend is uitgebracht, meldt RTL Nieuws. De kwetsbaarheid is inmiddels opgelost.

RTL Nieuws deed onderzoek naar het lek in de zogenoemde ForumApp nadat het een anonieme tip had ontvangen. De ForumApp verbond met de technische achterkant van de Forum-website, waarin alle leden staan, schrijft het medium. Op die manier kunnen gebruikers inloggen met hun Forum-account bij de app. Er werd niet gecontroleerd wie welke gegevens opvroeg en of diegene daar toestemming voor had. Daardoor was het mogelijk om volledig geautomatiseerd het gehele ledenbestand van Forum op te vragen en te downloaden zonder dat daar bijvoorbeeld een bruteforcecheck op zat.

Onder meer de namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden waren voor iedereen in te zien en op te vragen. Ook was zichtbaar sinds wanneer de gebruiker lid is of was, of ze contributie hebben betaald en hoeveel. Tussen de gelekte gegevens zaten de persoonsgegevens van partijleider Thierry Baudet en FvD-Kamerleden Gideon van Meijeren, Pepijn van Houwelingen en Freek Jansen. Daarnaast waren de gegevens van prominente oud-leden, zoals Henk Otten en Annabel Nanninga, ook in te zien, terwijl ze al enige tijd weg zijn bij de partij en geen contributie meer betalen.

Het is onduidelijk of iemand, naast RTL Nieuws, toegang heeft gehad tot de gegevens. Het nieuwsplatform heeft na het ontdekken van het lek gelijk contact opgenomen met FvD, die het lek heeft laten dichten. Ook heeft de partij toegezegd dat het contact zal opnemen met de Autoriteit Persoonsgegevens (AP) om het lek te melden en dat het aangifte zal doen tegen iedereen die het lek heeft misbruikt. Het melden van een datalek bij de AP is verplicht. Het lidmaatschap van een politieke partij wordt onder de AVG geclassificeerd als 'bijzonder persoonsgegeven', wat betekent dat er strengere eisen zijn verbonden aan het verzamelen en beschermen van zulke data.

Update, 02-12, 07.08 uur: Streamlined, de ontwikkelaar van de app, heeft een reactie geplaatst op zijn site. Het zegt dat het lek niet in de app, maar in de back-end van het ledensysteem zat.

IT-banen

Reacties (312)

rodie83 1 december 2022 17:37

Best een blunder. Mogen ze nog blij zijn dat het RTL Nieuws was die het (hopelijk) als eerste heeft opgemerkt. Zulke gegevens zijn in andere handen met het huidige klimaat vast het nodige waard.

Tielenaar @rodie83 • 2 december 2022 09:40

Daniël Verlaan, die vaker dit soort onderzoeken publiceert, heeft een behoorlijk groot netwerk van IT specialisten en hackers die hem dit soort informatie toespelen. En soms doet hij het zelf.
Deze specialisten zijn er vaak niet op uit om de daadwerkelijke data naar buiten te brengen, en Daniël geeft partijen ook nog de kans om het lek te dichten voordat het gepubliceerd wordt.
Neemt niet weg dat dit door een groepje kwaadwillenden niet al lang op het dark web is gezet natuurlijk.

Yzord @rodie83 • 1 december 2022 17:40

Dat hebben ze niet. Het was een anonieme tip richting RTL toe. Dus dat de database is gelekt en waarschijnlijk zal worden misbruikt lijkt mij wel duidelijk. Vanwaar anders de anonieme tip?

MiesvanderLippe @Yzord • 1 december 2022 17:51

Omdat zelf een responsible disclosure doen heel moeilijk is. Je wordt niet gehoord, niet serieus genomen en je loopt het risico aangeklaagd te worden.

Daarbij heeft Daniël Verlaan (RTL) hier een naam voor, en is dat iemand die gemakkelijk aan te spreken is voor dit soort zaken.

Kostarados @Yzord • 1 december 2022 17:50

Ook zonder slechte intenties kan ik me voorstellen dat de tipgever anoniem wil blijven. In dit politieke landschap is je leefomgeving niet veilig als je naam bekend wordt. Zelfs een prominente white-hat hacker zou deze niet opeisen denk ik, om zo geen bedreigingen te hoeven verduren.

[Reactie gewijzigd door Kostarados op 22 juli 2024 21:04]

PalingDrone @rodie83 • 1 december 2022 17:41

RTL nieuws was getipt dus ze waren niet de eerste die konden rondkijken

kokx 1 december 2022 17:47

De politiek daargelaten, gaat dit nog een interessante casus worden als het gaat om misbruiken van een lek door journalisten. Als ik het zo lees, lijkt het erop dat RTL msibruik van het lek gemaakt heeft om een groot deel van (als niet het volledige) ledenbestand uit te lezen. Zeker gezien er ook gecontroleerd zijn of er diverse oud-leden wel of niet nog lid zijn.

Dat gaat naar mijn idee behoorlijk ver. Hiermee wordt namelijk wel een bijzonder persoonsgegeven (politieke voorkeur) prijsgegeven voor veel mensen. Ongeacht wat ik vind van FvD, lijkt het erop dat RTL niet geheel etisch gehandeld heeft.

Anoniem: 392841 @kokx • 1 december 2022 18:27

Ook @PolarBear @Omemanti @moredruid - het probleem is niet zozeer het binnenhalen van de persoonsgegevens en het verifieren ervan. Dat is vaker gebeurt. Wat wel een probleem is vervolgens dat Daniel Verlaan of iemand anders bij RTL niet alleen heeft geverifieerd maar ook data-analyse erop los heeft gelaten (hoeveel keer iemand uit Amsterdam/Rotterdam/Utrecht/etc komt en verhouding mannen/vrouwen). En daar is RTL gewoon fout.

[Reactie gewijzigd door Anoniem: 392841 op 22 juli 2024 21:04]

HooksForFeet @Anoniem: 392841 • 1 december 2022 19:12

Op welk wetsartikel baseer je dit precies en is daar precedent voor?

Anders @HooksForFeet • 2 december 2022 08:31

De AVG en het feit dat de journalistieke vrijheid van journalisten niet onbeperkt is (zie uitspraken).
Verlaan had voor het aantonen van het lek geen data-analyse hoeven uitvoeren op bv verhouding man-vrouw. Hij heeft de gegevens dus langer bewaard en meer verwerkt dan strikt noodzakelijk voor zijn doel (een lek aantonen).

https://www.rtlboulevard....er-hoes-niet-onrechtmatig
https://www.rtlboulevard....eman-voor-plaatsen-nepbom

HooksForFeet @Anders • 2 december 2022 08:54

De avg is een wet, geen wetsartikel. En "zie uitspraken", ja, daar vraag ik juist om, waar zijn die uitspraken?

De links die je noemt gaan over journalisten die strafbare feiten hebben gepleegd. Dat betekent natuurlijk niet dat wat Verlaan heeft gedaan ook een strafbaar feit is.

[Reactie gewijzigd door HooksForFeet op 22 juli 2024 21:04]

Anders @HooksForFeet • 3 december 2022 11:17

AVG/GDPR, WbP, Telecomwet, allemaal stellen en stelden ze klip en klaar dat persoonsgegevens niet meer en niet langer verwerkt, bewaard etc mogen worden dan strikt noodzakelijk. Dat is al decennialang de hele basisgedachte achter zo'n beetje elke privacywetgeving in Nederland. De wetsartikelen zou je zelf moeten kunnen opzoeken maar omdat je daar wat moeite mee schijnt te hebben: zie bv https://gdpr-info.eu/art-5-gdpr/

Voor het aantonen van het lek was het niet nodig om data-analyse te doen op de gegevens. Door toch leuke dingen te doen met de data heeft Verlaan ten minste art 5 lid 1 sub 2 en sub 3 geschonden. Nou zal ie daar alleen voor vervolgd kunnen worden als een belanghebbende aangifte doet en dat zie ik niet gebeuren. Zelfs de FvD zal wel snappen dat ze hier beter hun mond kunnen houden.

Van de links die ik noemde (die links gaan over uitspraken, dat zijn uiteraard de uitspraken waar ik op doelde, Einstein) gaat alleen de tweede link over een journalist die een strafbaar feit pleegt. In de eerste link wordt geen strafbaar feit gepleegd. Die links tonen dus aan dat journalisten meer vrijheid genieten dan gewone burgers, maar dat die vrijheid niet onbeperkt is.

[Reactie gewijzigd door Anders op 22 juli 2024 21:04]

mjtdevries @HooksForFeet • 2 december 2022 12:52

Wil je beweren dat het misbruiken van dat datalek geen strafbaar feit is?
Dat valt onder computervredebreuk en als je dan ook nog gegevens meeneemt dan staat daar maximaal 4 jaar cel op.

HooksForFeet @mjtdevries • 2 december 2022 23:07

Ik zeg dat wat Verlaan heeft gedaan niet per definitie het misbruiken van het datalek is.

Het tegenargument daartegen was "het is strafbaar wat hij heeft gedaan, want deze andere dingen die niet hetzelfde zijn, bleken ook strafbaar", en dat is een onzinnig argument.

De gretigheid hier om een journalist te veroordelen zonder enige kennis van de wet of de feiten is stuitend en erg des FVD's.

mjtdevries @HooksForFeet • 5 december 2022 09:50

Ik veroordeel helemaal niemand. Ik geef simpelweg aan dat dit wel degelijk in het strafrecht staat.
En de beoordeling is vervolgens aan een rechter. Die mag afwegen of wat hij heeft gedaan daadwerkelijk een groot maatschappelijk belang dient en daarom niet bestraft hoeft te worden.
Dat is hoe een rechtstaat werkt!

Blijkbaar heb jij moeite met de wijze waarop een rechtstaat werkt?

MSalters

Politiek en recht

@HooksForFeet • 2 december 2022 15:48

AVG artikel 5, lid 1(a) is expliciet "data minimalisatie".

Je idee van precedent is overigens verkeerd om. Je hebt doorgaans meer precedent naarmate een artikel onduidelijker is. Duidelijke wetten hebben dus weinig precedent, omdat het niet toch rechtzaken komt. Advocaten schikken die zaken buiten de rechtbank om.

PhilipsFan @kokx • 1 december 2022 18:29

RTL heeft gewoon openbare url's opgevraagd en de antwoorden vastgelegd. Daar is niks onethisch aan, dat doen wij allemaal, dagelijks. Misschien hebben ze eerst alle url's opgevraagd (om bijvoorbeeld de omvang van het lek vast te stellen) en pas later gekeken welke gegevens ze eigenlijk allemaal hebben gevonden.

[Reactie gewijzigd door PhilipsFan op 22 juli 2024 21:04]

Keypunchie

Nederland

@PhilipsFan • 1 december 2022 18:35

Dat laatste is dus een stap te ver.

Je ziet dat er een lek is, dat je dan kijkt welke type data het is (persoonsgegevens) en omvang, is prima.

Maar ze zelf gaan opslaan en nog eens ‘rustig’ doorspitten, zelfs al is het van die publiek url’s, is dataverwerking, geen journalistiek meer.

Het is niet het allerergste ter wereld, maar het is wel over het randje.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 21:04]

PhilipsFan @Keypunchie • 1 december 2022 18:41

Nogmaals, er zijn openbare url's opgevraagd. Dat doen we allemaal dagelijks. Er zijn systemen die dat geautomatiseerd doen en de resultaten opslaan, ook daar is niks illegaals aan. Er bestaat geen verplichting in de wet om gegevens die je via een openbaar url opvraagt, eerst te controleren op gevoelige gegevens alvorens de resultaten op te slaan. Feitelijk zijn er gewoon een lading webpagina's geautomatiseerd opgevraagd.

In plaats van deze (zinloze) discussie te voeren dat dat 'onethisch' is (die term bestaat niet eens in de wet) kunnen we ons toch beter concentreren hoe het in vredesnaam mogelijk is dat een politieke partij (die per definitie met gevoelige gegevens werkt) openbare url's beschikbaar stelt waarop gegevens over partijleden zijn te vinden, zonder hun toestemming. Ik vind dat, in deze tijd waarin we ons zo bewust zijn van alle risico's van datalekken, zeer ernstig. De partij die deze backend beschikbaar stelde mag wel eens publiekelijk te schande worden gemaakt, want dit is echt de meest klassieke beginnersfout die je je kunt voorstellen...

Sissors @PhilipsFan • 1 december 2022 22:56

Zo werkt het dus echt niet. Dat ik dagelijks deuren open die niet op slot zit, betekend niet dat ik de voordeur die mijn buurman vergeten op slot te doen is mag openen en naar binnen gaan. Als een ziekenhuis hun beveiliging verkeerd heeft, betekend niet dat jij alle privé data mag scrapen. Hell Facebook is een paar dagen geleden nog veroordeeld omdat een andere partij informatie heeft opgevraagd bij hun die mensen publiekelijk daar neer hebben gezet: nieuws: Meta krijgt 265 miljoen euro AVG-boete om gescrapete data van 533 mil....

Dus als dat al niet mag, hoe kom je op het idee dat informatie waarvan het overduidelijk is dat het niet publiekelijk hoort te zijn wel zo mag worden binnengehaald op grote schaal?

PhilipsFan @Sissors • 1 december 2022 23:33

Je zegt dat ik iets doe wat niet 'mag'. Vertel mij eens welke wet ik overtreed dan. Dat doe ik namelijk niet. Data die publiek beschikbaar is mag ik opvragen, opslaan, verwerken, weet ik veel. Waarschijnlijk mag ik het niet nieuw opnieuw openbaar maken, want dan moet ik zelf voldoen aan de AVG, maar zolang ik het op m'n eigen harddisk laat staan is er niks aan de hand.

Nogmaals, ik begrijp niet dat de discussie zich nu richt op RTL en of het wel 'netjes' is wat ze hebben gedaan. Niemand vraagt zich af of er misschien cirminelen zijn die dezelfde openbare data allang hebben gescraped en opgeslagen om er later stoute dingen mee te doen. De bouwer van deze app heeft een enorme blunder gemaakt, laten we die verantwoordelijk houden. RTL heeft juist goed gehandeld door dit openbaar te maken, wie weet hoe lang ze er anders mee door waren gegaan.

[Reactie gewijzigd door PhilipsFan op 22 juli 2024 21:04]

Anders @PhilipsFan • 2 december 2022 08:22

Nee. Bij het opslaan van persoonsgegevens moet je de betrokkenen informeren, die daar ga je al fout. Dat de informatie publiekelijk beschikbaar is, maakt daarbij niet uit.

RTL Nieuws handelt nog uit een maatschappelijk belang. Vergelijk het met het maken van de video opname om fraude aan te tonen. Dat mag ook niet, maar vaak oordelen rechters dan dat het belang van het aantonen van de fraude groter is dan het recht op privacy van de betrokkenen. Echter onlangs kreeg Alberto Stegeman een dikke boete omdat hij nepbom had geplaatst. Je kunt dus ook te ver gaan bij het overtreden van de wet als je handelt uit een maatschappelijk belang.

bwerg @PhilipsFan • 2 december 2022 09:00

Je zegt dat ik iets doe wat niet 'mag'. Vertel mij eens welke wet ik overtreed dan.

computervredebreuk.

Data die publiek beschikbaar is mag ik opvragen, opslaan, verwerken, weet ik veel. Waarschijnlijk mag ik het niet nieuw opnieuw openbaar maken, want dan moet ik zelf voldoen aan de AVG, maar zolang ik het op m'n eigen harddisk laat staan is er niks aan de hand.

Dit is simpelweg niet waar. De vergelijking die Sissors maakt klopt wel degelijk, net zoals je een deur die niet op slot is niet zomaar door mag mag je ook niet zomaar data bevragen aan een server die die zonder enige vorm van beveiliging of authenticatie verstrekt. Of, zoals in het gelinkte artikel, je mag niet zomaar een tuin zonder hek inlopen.

Natuurlijk maakt de toegankelijkheid wel sneller dat je sneller 'per ongeluk' op een URL-hacked resultaat uitkomt dan op een resultaat waarvoor je een SQL-injectie moet invoeren. Maar dat is een kwestie van intentie, wat juridisch natuurlijk ook zwaar meeweegt. Net zoals of je na het zien van de onbedoeld verstrekte gegevens meteen wegklikt zodra je dat in de gaten hebt, of dat je besluit dan maar een scraper te bouwen om die hele server leeg te trekken. En net zoals je niet direct veroordeeld wordt voor het betreden van een grasveld als dat achteraf iemands tuin bleek te zijn, maar wel als je daar gaat kamperen terwijl je weet dat het iemands tuin is.

[Reactie gewijzigd door bwerg op 22 juli 2024 21:04]

Groningerkoek @PhilipsFan • 2 december 2022 13:43

Dat doe ik namelijk niet. Data die publiek beschikbaar is mag ik opvragen, opslaan, verwerken, weet ik veel.

Ja dat doe jij wel.

Er is ook zoiets als gezond verstand. Zo mag jij aannemen dat als jij een emmer in het water vindt dat die opgegeven is door de eigenaar en dat jij die mee naar huis mag nemen. Kom je echter een auto tegen dan begrijpt iedereen dat je die niet zomaar eruit mag vissen en mag houden. En zo dient iedereen ook te begrijpen dat als jij persoonsgegevens van anderen verkrijgt/kunt verkrijgen of die wel of niet voor jou zijn bedoelt. Daarnaast dient iedereen de wet te kennen.

nullbyte @Groningerkoek • 3 december 2022 09:54

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding.

"gezond verstand" wordt afgevangen door het woord "wederrechtelijk" in de wettekst. Net zoals je niet per ongeuk iets kan stelen uit artikel 310 Diefstal. Je moet het oogmerk hebben om je iets wederrechtelijk toe te eigenen dat geheel of ten dele aan een ander toebehoort. De aanname die logischerwijze gedaan kan worden dat er geen toestemming gegeven is komt dus inderdaad neer op het gezonde boeren verstand.

[Reactie gewijzigd door nullbyte op 22 juli 2024 21:04]

Jaman287 @PhilipsFan • 2 december 2022 11:03

De bouwer van de app heeft inmiddels via zijn website laten weten dat dit lek niet aan de kant van de app ligt, maar aan de kant van de back-end van het ledensysteem.

Daarnaast mag je er niet vanuit gaan dat je zomaar alle publiek beschikbare persoonsgegevens mag opslaan of verwerken. Ook hierbij geldt het gaat om persoonsgegevens --> AVG is van toepassing. Stel je slaat dergelijke gegevens op op je eigen HDD en die komen om wat voor reden dan ook op straat te liggen, dan heb je alsnog een overtreding van de AVG begaan. Of je de gegevens nou wel/niet voor eigen gebruik op die schijf had staan.

Anoniem: 392841 @PhilipsFan • 1 december 2022 18:48

Zelfs als het 'openbare' URLs zijn - je loopt nog steeds te lorren in iemands server. Daar de hele dataset uit halen is nooit de bedoeling van zo'n app en kan technisch gezien (als het OM streng wil zijn) opgevat worden als computervredebreuk. Als journalist heb je vervolgens wat meer speelruimte dan de meeste mensen qua wat je kan doen met de data om te verifieren dat het geclaimde lek inderdaad dat is, maar eea wat vervolgens gedaan is gewoon te ver gegaan.

Aan de andere kant heb je incompetentie van degene die dit voor de FvD gemaakt heeft - dit had natuurlijk nooit mogen kunnen gebeuren. En ik vermoed dat de FvD nog wel een boete zal krijgen van de AP vanwege grove nalatigheid.

Er zijn twee foute partijen hier.

Tc99m @Anoniem: 392841 • 1 december 2022 19:46

Juist door de hele dataset uit de server te halen kon RTL Nieuws vaststellen dat er ook nog duizenden oude leden in het bestand zaten. Je kunt je afvragen of FvD daarmee niet de wet overtrad (los van het feit dat de data niet beschermd was), omdat ze die persoonsgegevens eigenlijk hadden moeten verwijderen na het beëindigen van het lidmaatschap. Dat heeft nieuwswaarde en daardoor zou je ook kunnen redeneren dat het legitiem was.

[Reactie gewijzigd door Tc99m op 22 juli 2024 21:04]

Jaman287 @Tc99m • 2 december 2022 10:55

Het is nog maar de vraag of alle gegevens van oud-leden gewist hadden moeten worden na beëindiging van het lidmaatschap.

Facturatiegegevens mogen niet zomaar gewist worden en hebben een bewaartermijn van tenminste 7 jaar.
Als de bewaartermijn van de persoonsgegevens niet is overschreden. Geen idee welke bewaartermijnen zij hanteren, maar indien dit bv. is vastgesteld op 2 jaar na beëindiging van het lidmaatschap en die periode is niet overschreden dan lijkt me dat geen probleem.
Indien het gegevens betreft waarvan betrokkene kan aantonen dat deze reeds verwijderd hadden moeten zijn, bv. doordat betrokkene een uitoefeningsverzoek op het recht op vergetelheid heeft ingediend, welke is "uitgevoerd" en bevestigd door FVD, dan is er ook een probleem.

Dit staat overigens los van het feit dat het hier om gevoelige gegevens gaat gezien het feit dat de gelekte persoonsgegevens iets zeggen over de politieke voorkeur van de betrokkene. Dat kan vergaande gevolgen hebben voor die mensen in deze bizarre politieke tijden.

genosis @Jaman287 • 6 december 2022 14:59

Zojuist reactie gehad van de FvD webcare, die zeggen zelf dat ze wettelijk 10 jaar lang ex-leden gegevens moeten bewaren. Lijkt mij erg sterk..

Hun reactie:

Op Forum voor Democratie rust een wettelijke plicht ingevolgde de Wet financiering politieke partijen om de gehele administratie gedurende 10 jaar te bewaren. Wij verwijderen gegevens alleen indien dat wettelijk is toegestaan. Eventuele beroepen op het recht op vergetelheid kunnen wij deswege pas honoreren indien de wettelijke bewaartermijn is verlopen. Dit vormt een door de Autoriteit Persoonsgegevens benoemde gerechtvaardigde uitzondering op het recht op vergetelheid.

In hoeverre individuele persoonsgegevens betrokken zijn bij de hack kunnen wij op dit moment niet aangeven.

Jaman287 @genosis • 6 december 2022 21:27

Ik heb het even opgezocht en de bewaartermijn van 10 jaar is juist, zie art. 20 lid 2 Wet Financiering Politieke Partijen.
Dat neemt natuurlijk niet weg dat zij voldoende mitigerende technische maatregelen hadden moeten nemen om de persoonsgegevens van betrokkenen te beschermen.

Opvallend wel dat zij niet kunnen aangeven in hoeverre individuele persoonsgegevens betrokken zijn bij het lek (FvD noemt het een hack). Kan me niet voorstellen dat FvD dit “niet weet”. Ze zouden het moeten kunnen weten, en bovendien lijkt het me aannemelijk dat ze allang bij RTL een kopie van hun bestand hebben opgevraagd.

[Reactie gewijzigd door Jaman287 op 22 juli 2024 21:04]

moredruid @Jaman287 • 7 december 2022 13:17

Dan vind ik toch dat ze een 2e database moeten hebben met de historische gegevens die niet online benaderbaar is, noodzakelijk om aan de wet te voldoen naast een "actieve leden" database. Is een lid conform de voorwaarden van de partij "verlopen" dan kan die per kwartaal overgezet worden naar de "historie" database.

Het is ook wel dubbel genieten als je hun politieke standpunten leest over privacy en digitalisering, echt een staaltje do as I say, not as I do:
https://fvd.nl/standpunten/privacy-en-digitalisering

Anoniem: 392841 @Tc99m • 1 december 2022 19:54

Ja, en daar slaat mijn punt dus een beetje op (hoewel, toegegeven, inmiddels ook verspreid over meerdere reacties). De FvD is fout geweest in hoe ze hun systeem hebben ingericht, en het zou me verbazen als de AP geen actie onderneemt.

RTL was binnen de grenzen die iig in het verleden (leken) te gelden voor journalisten prima met het binnenhalen en verifieren. Maar, en dat is echt puur van wat ik me meen te herinneren, is ook dat altijd volgens het OM de grens geweest (ik dacht dat het OM zelfs een keer hier in een interview nav de arrestatie van een grey hat hacker een reactie op had gegeven met hun overwegingen waarom de journalisten niet en hackers wel worden gearresteerd, maar deze is echt heel vaag in mijn herinnering dus hoef je niet voor de waarheid aan te nemen dat dat interview bestaat).

RTL heeft echter ook de data niet alleen geverifieerd/bekeken, maar ook effectief gemanipuleerd met data-analyse. En dat is het probleem voor RTL - want dan ga je als ik het me goed herinner de fout in als journalist omdat je de analyse van de data strikt genomen niet nodig hebt om je werk goed uit te voeren. Je hebt al geverifieerd dat de claim klopt (zowel qua het bestaan van het lek als het bestaan en correct zijn van de data), het is niet strikt noodzakelijk om dan ook nog verder wat met de data te doen.

sylvester79 @Anoniem: 392841 • 2 december 2022 08:05

Journalistiek (en niet alleen daar) was altijd de vraag of het aantal leden van FvD klopt. De partij stelde dat het sinds de "ophef" enkel meer leden heeft verkregen. Ook waren er berichten van ex-leden die stelde dat hun opzegging niet was verwerkt.

RTL heeft vastgesteld dat FvD 45.000 betalende leden heeft en dat van 20.000 nog een betaling zou kunnen volgen. Dit heeft nieuws waarde.

De ledenadministratie tegen een IBAN naam/rekening controle houden zou ook nieuwwaarde hebben. Vergeet niet dat FvD als een kleine partij in de politiek, stelt (en dit lijkt nu te kloppen) de grootste ledenpartij is.

Van computervredebreuk lijkt geen sprake, volgens de wet is hiervan enkel sprake als:

a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

Volgens de verklaring van RTL is er geen technische ingreep gedaan, ze hebben gewoon een API call gedaan en er was geen enkele vorm van beveiliging of zich voordien als een ander om toegang te krijgen.

Tc99m @Anoniem: 392841 • 1 december 2022 20:31

RTL Nieuws heeft helemaal geen data gemanipuleerd. Los van dat 'manipuleren' suggereert dat ze iets hebben veranderd in de database van FvD, hebben ze alleen maar woonplaats en het geslacht uit de dataset gehaald, en geturfd hoe vaak bepaalde waardes voorkwamen.

Dat data-analyse noemen is al wat vergezocht, en het impliceren dat ze daarmee illegaal bezig zijn geweest is echt spijkers op laag water zoeken. Het is een illustratie die de lezer een beeld geeft van wat voor soort gegevens er allemaal in die dataset stonden, en daarmee vanuit een journalistiek oogpunt ook zeker te verantwoorden.

mrmrmr @Tc99m • 2 december 2022 06:06

Het is duidelijk een data-analyse van data verkregen door 'hacken' (computervredebreuk), dat valt niet te ontkennen. Hoewel de URL voor iedereen open stond, was dat niet de bedoeling van de databeheerder en dat was duidelijk voor degene die de data opvroeg.

Wat RTL wel redelijk (maar niet helemaal) goed doet is dat ze van de geboortedatum het jaar en maand aangeven zonder plaatsnaam. Wel met gedeeeltelijk verhuld emailadres. Een geboortedatum zonder dag is niet uniek, gemiddeld ongeveer 1 op 1000. Een volledige geboortedatum kan tamelijk bepalend zijn. Gemiddeld is dat ongeveer 1 op 30.000, maar als je een weinig voorkomende geboortedatum hebt kan dat oplopen.
De wijze van weergeven van de dag laat mogelijk nog wel interpretatie toe op grond van de vorm en kleur van de 'verhulde' dagweergave. Ze hadden dat zwart moeten maken. Gecombineerd met een email adres waarvan het eerste deel op dezelfde wijze is verhuld, maakt het nog meer bepalend.

Het artikel vermeldt niet hoe men de data heeft verkregen. Hebben ze dat zelf opgevraagd of heeft een derde dat toegestuurd? Als een 'hacker' dat heeft opgevraagd mag die dat niet, die mag alleen een lek aantonen.

Jorgen @Anoniem: 392841 • 1 december 2022 23:05

Er is niks beïnvloed, er is niks veranderd. Ergo, er is geen data gemanipuleerd.
Zeg dat dan ook niet.

Dat is net zo manipulatief als het statement van de FvD. RTL heeft hen op de hoogte gesteld van de geverifieerde kwetsbaarheid. Het statement van FvD luidt

[...] mogelijk een vijandige aanval op onze IT-systemen heeft plaatsgevonden [...]

en

[...] Tevens zijn we in contact getreden met onze advocaat, mr. Gerard Spong, die bevestigde dat hacking en computervredebreuk strafbare feiten zijn. [...]

Dat is niet wat er aan de hand is. Er is gewoon brak broddelwerk geleverd en FvD probeert het weer eens af te schuiven.

wow7 @Tc99m • 1 december 2022 23:38

Uit de AVG:

In de AVG is geen concrete bewaartermijn voor persoonsgegevens opgenomen. Organisaties mogen zelf bepalen hoe lang ze gegevens bewaren, maar gegevens mogen niet langer bewaard worden dan noodzakelijk. Persoonsgegevens mogen alleen verwerkt worden voor vastgestelde doelen en organisaties moeten een bewaartermijn in hun privacyreglement opnemen. In het privacyreglement is vastgelegd dat persoonsgegevens voor een bepaalde periode worden bewaard nadat het doel is behaald of wanneer de dienstverlening stopt.

Dan zou je echt de FVD privacyreglement 2022 moeten lezen voordat je die statement kan maken , het aannemen dat iets dit of dat is blijkbaar mainstream geworden , ik zie dit als framen voordat je echt een bewijs in handen hebt. Ben geen FVD aanhanger maar ik zie steeds meer zulk soort onzin tegen oppositie partijen.

xvisuals @wow7 • 2 december 2022 00:46

Ik ben eens vluchtig door hun privacy statement gegaan en daaruit is het vrij duidelijk dat ze de AVG schenden op basis van wat je citeert.

Hoe lang we persoonsgegevens bewaren
Forum voor Democratie bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Forum voor Democratie verwerkt uw persoonsgegevens voor de volgende doelen:
- Het afhandelen van uw betaling
- Verzenden van onze nieuwsbrief en/of reclamefolder
- U de mogelijkheid te bieden een account aan te maken - Om goederen en diensten bij u af te leveren

Ze claimen dat ze jouw gegevens enkel opslaan zolang ze nodig zijn om de vermelde doelen te realiseren, maar geen enkele van die doelen lijkt mij van toepassing op oud-leden. Dus eigenlijk mogen ze van oud-leden helemaal geen gegevens meer bijhouden.
Los daarvan denk ik ook dat het bijhouden van de totale contributie niet onder deze doelen valt, al kan daar nog over gediscussieerd worden.

phosporus @wow7 • 2 december 2022 08:16

Organisaties mogen zelf bepalen hoe lang ze gegevens bewaren, maar gegevens mogen niet langer bewaard worden dan noodzakelijk.

Ze mogen de noodzaak dan gaan uitleggen waarom ze gegevens bewaren van oud-leden en wat hun bewaartermijn daarop is.

xleeuwx @Anoniem: 392841 • 2 december 2022 00:49

Dus even advocaat van de duivel... Als Google deze pagina's geindexeerd heeft wat in theorie zou kunnen aangezien het publieke url's, dan moeten ze Google ook aanklagen? Dit aangezien Google ook de data eerst moet downloaden om vervolgens de data te kunnen processen waarna ze het kunnen indexeren.

bwerg @xleeuwx • 2 december 2022 08:32

Zoals gewoonlijk maken heel veel tweakers vergelijkingen die technisch kloppen maar die totaal de plank misslaan als het gaat om de intentie van de actie. Terwijl dat een cruciale factor is om te bepalen of iets juridisch mag.

URL-hacking is in dat opzicht net zozeer hacken als het kraken van encryptie. Dat bij wijze van spreken mijn opa het nog kan is niet relevant.

De intenties van een google-bot, van een internetcrimineel, van een journalist en van een nieuwsgierige echte gebruiker zijn totaal verschillend.

Tijanus @bwerg • 2 december 2022 11:30

Intentie is juridisch glad ijs, volgens mij kun je daar normaliter helemaal niets mee (google levert ook niets dan 'intentieverklaringen', wat vaak gebakken lucht op papier blijkt te zijn), want de daad is een objectief feit, maar de beweegredenen van de verdachte blijven subjectief.

In de politiek is dit alleen maar lastiger. Zo lijkt uit een mededeling als 'geen actieve herinnering' voor mij klip-en- klaar een 'intentie' (kun je niks mee) tot 'misleiding van de kamer' (schending van de regels, zij het misschien niet direct strafbaar), zeker in de context van mist, rook, spiegels en vertraging die onze huidige premier al veel te lang eigen is, en toch kun je er helemaal niets mee.

Behalve dan, hopen dat de kiezers (of hun afgevaardigden) de voglende keer wat wijzer zijn.

bwerg @Tijanus • 2 december 2022 13:29

Intentie is juridisch glad ijs, volgens mij kun je daar normaliter helemaal niets mee

Dit is ronduit onzin, volgens die redenering is er geen verschil tussen moord, doodslag en dood door schuld. Intenties zijn juridisch juist heel belangrijk. Intentie is ook belangrijk voor de strafmaat bij veel strafzaken, waarom denk je dat er een flink verschil zit tussen minimumstraffen en maximumstraffen van dezelfde overtreding? Om dat er verschil kan zitten in context, waarvan intentie een belangrijk onderdeel is.

Ja, het is subjectief en lastig aan te tonen, daarom hebben we advocaten en strafpleiters om te onderbouwen en rechters om te oordelen.

Of je een URL aanpast omdat je wil controleren of je eigen gegevens op die server wel veilig zijn of dat je een URL aanpast omdat je gegevens van je ex probeert te ontfutselen zijn twee heel verschillende scenario's.

Anoniem: 1582350 @xleeuwx • 2 december 2022 01:11

Google-bot maakt rechtsomkeer als dat hem aangeven wordt in de robots.txt of in de headers.

Tweakers heeft bijvoorbeeld speciale bestanden publiek staan om de robots te vertellen waar ze wel naar mogen kijken en waar niet.

De robots zijn deel van het ontwerp geworden en kennen geen toeval meer.

Kaasrol @Anoniem: 392841 • 1 december 2022 20:44

Is dat zo? Als we kijken naar het artikel:

Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

Er was überhaupt geen beveiliging om te doorbreken zoals in punt a genoemd.
En ook de andere manieren die punt b noemt lijken mij persoonlijk niet van toepassing. Er is immers geen technische ingreep voor nodig, er zijn geen signalen vervalst en je logt ook niet in als iemand anders (valse hoedanigheid).

Of begrijp ik het nu verkeerd?

bwerg @Kaasrol • 2 december 2022 08:39

URL-hacking is ook een technische ingreep. Zo simpel dat een bejaarde het snapt, maar het is een technische ingreep. Zeker als de oorspronkelijke URL niet via een browser wordt opgevraagd maar via een app die die URL helemaal niet toont in de gebruikersinterface.

"Er is gewoon een URL opgevraagd" is dus een mooi tweakers-antwoord maar dag is gewoon niet de juridische realiteit.

[Reactie gewijzigd door bwerg op 22 juli 2024 21:04]

PhilipsFan @bwerg • 2 december 2022 15:45

En dat komt weer omdat juristen het internet niet begrijpen. Het is volkomen idioot om het opvragen van een willekeurig url strafbaar te stellen. En al helemaal als het woordje 'intentie' daarin voorkomt. Waar blijkt die intentie uit? Er is maar 1 iemand die dat echt weet, en die gaat dat natuurlijk niet publiekelijk vertellen.

Maar omdat jullie het blijkbaar nogal moeilijk vinden zal ik een concreet voorbeeld noemen. Vergelijkingen met auto's en huizen gaan aan alle kanten mank, dus ik hou het bij een server:

Stel ik beheer zelf een server en daarop bewaar ik persoonsgegevens. Van de leden van mijn vereniging of whatever. Die persoonsgegevens zijn met een api op te vragen bijvoorbeeld door mijnapi.nl/persoonsgegevens?persoon=xxx. Uiteraard heb ik dat beveiligd met cookies en een sessie-id zodat niet iedereen zomaar dat url kan aanroepen, hetgene wat FVD hier even vergeten is.

Nu vraag ik elke dag zelf, geautomatiseerd, alle persoonsgegevens op via die api. Mijn client beschikt over een geldig sessie-id, maar controleert dat niet, want dat is een taak van de server. Ik begin met persoon 1 en ik ga door tot ik een 404 krijg, dus in theorie haal ik dan de gegevens op van alle personen. Die gegevens leg ik vast omdat ik een audittrail wil hebben, ik wil later kunnen aantonen wie zich op welk moment heeft aan- en afgemeld omdat ik bijvoorbeeld voor de belastingdienst moet kunnen aantonen wie er contributie moeten betalen. Mits ik die gegevens op een veilige manier bewaar is het tot zover allemaal legaal.

Nu gaat er iets fout. Mijn provider vernaggelt de dns-configuratie en om een of andere niet meer aan te tonen reden wordt mijn request nu verwezen naar fvd.nl, waar ze toevallig dezelfde api hebben. Ik denk dus mijn eigen gegevens op te vragen, maar in werkelijkheid gaat de request dus naar fvd.nl/persoonsgegevens en vraag ik de gegevens van de FVD leden op. Dat weet mijn automatisering natuurlijk niet en die legt dus al die gegevens vast. Ik heb net een nieuwe server dus mijn schijfruimte is nog lang niet vol, en ik controleer mijn backups niet inhoudelijk dus ik kom er lange tijd niet achter dat hier iets verkeerd gaat.

Wil je dat computervredebreuk noemen? Ik denk het niet, want ik had niet de intentie om die data buit te maken. Het is per ongeluk gebeurd. Dat kan ik een rechter wel uitleggen.

Nu wil ik graag de data van FVD verzamelen (dus ik heb nu de verkeerde intentie). Ik zet een fake server op zoals boven beschreven voor een fake (of desnoods echte) vereniging en laat daar gecontroleerd iets fout gaan met de dns-configuratie. Achteraf niet meer aan te tonen want als het aan het licht komt herstel ik natuurlijk de configuraties.

Wat nu? Hoe verschilt actie 1 van actie 2? Alleen de intentie is anders, maar tegen een rechter zal ik natuurlijk zeggen dat het per ongeluk is gebeurd. Ik heb dan echter wel computervredebreuk gepleegd? Ik weet het niet, volgens mij heb ik gewoon onbedoelde url's opgevraagd en that's it. Als de aanbieder van de gegevens niet wil dat willekeurige mensen die opvragen, dan moet hij ervoor zorgen dat alleen goedgekeurde personen de gegevens KUNNEN opvragen.

[Reactie gewijzigd door PhilipsFan op 22 juli 2024 21:04]

bwerg @PhilipsFan • 2 december 2022 15:59

En dat komt weer omdat juristen het internet niet begrijpen.

En dat vindt jij weer omdat techneuten rechtspraak niet begrijpen.

Het is volkomen idioot om het opvragen van een willekeurig url strafbaar te stellen. En al helemaal als het woordje 'intentie' daarin voorkomt. Waar blijkt die intentie uit? Er is maar 1 iemand die dat echt weet, en die gaat dat natuurlijk niet publiekelijk vertellen.

Wederom: volgens die redenering kun je geen onderscheid maken tussen moord en dood door schuld, want het enige verschil daartussen zit hem in de intentie.

Dat is nou net het hele punt: technische details zijn irrelevant. Rechtspraak gaat over vastleggen welk menselijk gedrag we moreel wenselijk of onwenselijk vinden. En menselijke intentie en begrip is daar een cruciaal onderdeel van. Niet alleen wat betreft computervredebreuk, dat geldt bij elke vorm van wetsovertreding. Welk bitje op welk moment waarheen ging doet niet terzake.

Wat nu? Hoe verschilt actie 1 van actie 2? Alleen de intentie is anders, maar tegen een rechter zal ik natuurlijk zeggen dat het per ongeluk is gebeurd.

Daarvoor hebben we dus rechercheurs, advocaten en strafbepleiters. Om te onderzoeken of onderbouwen of jouw verhaal aannemelijk is of juist een leugen.

Ik kan ook wel een hypothetisch verhaaltje gaan bedenken waarom het DNA van een misdadiger op de plek van een misdrijf terecht is gekomen. En dat doen advocaten ook. Drie keer raden wat daarmee gebeurt: er wordt door een rechercheur onderzocht of er feiten te vinden zijn die dat verhaal bevestigen of tegenspreken, en de rechter doet op basis van de aannemelijkheid van de geschetste scenario's een uitspraak.

[Reactie gewijzigd door bwerg op 22 juli 2024 21:04]

Dramatic @PhilipsFan • 3 december 2022 16:42

Wat is dit voor ijl-verhaal? Je gaat je eigen server per id losse requests sturen, maar die komen per ongeluk bij fvd uit?

[Reactie gewijzigd door Dramatic op 22 juli 2024 21:04]

Blizz @Anoniem: 392841 • 1 december 2022 19:12

Geen OM komt daar ooit mee weg. RTL heeft gewoon hun taak gedaan door de omvang en de ernst van het lek te bevestigen. Zolang ze de data daarna hebben verwijderd is er niets mis en niets fout aan wat zij hebben gedaan. Ik kan me overigens indenken dat als je bedenkingen hebt of de verantwoordelijke partij hun verantwoordelijkheid zou nemen, dat je dan contactgegevens bewaart en a) met de autoriteit deelt, b) direct contact opneemt om hen te waarschuwen en/of c) alleen het benodigde deelt met partijen zoals haveibeenpwned.com, al lijkt me dat niet de gebruikelijke gang van zaken. Maar ja, je kan het ook braaf verwijderen, waarna de verantwoordelijke partij het oplost, het daarna verdoezelt en niemand of maar weinig mensen waarschuwt voor het lekken van hun gevoelige gegevens.

[Reactie gewijzigd door Blizz op 22 juli 2024 21:04]

fre0n @PhilipsFan • 1 december 2022 22:16

Uhm jawel. Als dat persoonsgegevens betreft valt t namelijk meteen onder de AVG en mag je ze alleen opslaan als daar noodzaak voor is, en ook slechts zolang die noodzaak blijft bestaan

In geval van rtl had volstaan als ze de url hadden opgeslagen en een true/false resultaat of de betreffende url gegevens lekt

[Reactie gewijzigd door fre0n op 22 juli 2024 21:04]

Waswat @fre0n • 1 december 2022 22:58

Je moet toch ook bewijs hebben en dit aan kunnen tonen? In welke orde van grootte het lek is, wat voor data er wordt gelekt etc is allemaal best belangrijk om te weten. Vooral als je de privacywaakhond erover wil inlichten.

[Reactie gewijzigd door Waswat op 22 juli 2024 21:04]

fre0n @Waswat • 2 december 2022 01:55

Daarom de betreffende url en de true/false. Metadata is voldoende

bwerg @fre0n • 2 december 2022 08:48

En hoe leidt je af of er persoonsgegevens worden gelekt?

Door de URL op te vragen en te kijken of er persoonsgegevens zitten in wat er naar buiten komt. Of de server moet een URL-parameter "?lektpersoonsgegevens" hebben, maar ik denk het niet...

Opvragen moet dus toch. En je zal toch ook een voorbeeld moeten geven om aan te tonen dat er daadwerkelijk persoonsgegevens in staan. Dan enkel de tweedekamerleden opnoemen is niet heel gek, daarvan is het te verwachten dat ze er in staan dus de schade is voor hen niet groot.

[Reactie gewijzigd door bwerg op 22 juli 2024 21:04]

cmegens @PhilipsFan • 1 december 2022 22:53

Hij zegt ook niet dat het illegaal is, maar noemt het onethisch. En daar valt zeker wel wat voor te zeggen. Dat je alle URL’s kunt en mag opvragen wil niet zeggen dat je dat dan ook moet doen. Als je rekening had willen houden met de privacy van de leden was een proof of breach genoeg geweest.

Keypunchie

Nederland

@PhilipsFan • 1 december 2022 19:18

Hoezo is het ‘onzin’ discussie? Juist de grenzen van responsible disclosure en netjes met andermans data omgaan.

Als iemands gordijnen open staan, dan ga je toch ook niet even bij het raam staan en een inventaris van de spulletjes in hun huis maken?

Dat de FvD-app brak is, is het minst spannende van het verhaal. Dat is rechttoe-rechtaan en moet aktie op ondernomen worden.

Zolang dat niet gebeurd, blijven snelle softwarejongens ‘shortcuts’ nemen.

Tc99m @Keypunchie • 1 december 2022 21:03

Als de gordijnen van het FvD partijkantoor open zouden staan, en de ledenadministratie ligt uitgeprint op tafel, zou ik daar als langslopende journalist zeker een foto van nemen, zodat ik die (geblurred) in de krant kan zetten om het bericht kracht bij te zetten.
Die gevoelige persoonlijke informatie is dan namelijk voor iedere voorbijganger inzichtelijk, en dat is nieuwswaardig.

[Reactie gewijzigd door Tc99m op 22 juli 2024 21:04]

Jaman287 @Tc99m • 2 december 2022 11:06

Als de ledenadministratie uitgeprint op tafel ligt bij het partijkantoor dan kun je je sowieso afvragen wat hun bewustwordings niveau is op het gebied van de bescherming van persoonsgegevens.
Ter voorbeeld bij ons in het bedrijf geldt een clean desk policy, alle (gevoelige) bedrijfsgegevens, w.o. persoonsgegevens, moeten opgeborgen worden in een afsluitbare kast, kluis, lade, etc. Ook bij kortstondige afwezigheid (bv. koffie halen / toiletbezoek) moet de medewerker ervoor zorgen dat niet zomaar ongeautoriseerde personen 'inzage' kunnen krijgen in dergelijke gegevens.

bwerg @Keypunchie • 2 december 2022 09:07

Ter verdediging van de journalisten: wat zouden ze wel 'responsibly' openbaar moeten kunnen maken? Ik zou zeggen wat anonieme statistieken van de data, zoals de omvang van de dataset, en enkele steeksproefgewijze voorbeelden, waarbij die voorbeelden tot zo min mogelijk schade aan de betreffende personen moeten leiden. Dus bijvoorbeeld de namen van publieke tweedekamerleden waarvan we toch al wel hadden verwacht dat ze erin zouden staan.

Probleem van URL-hacking is dan dat je die twee gegevens niet makkelijk kan bepalen zonder eerst alle URL's op te vragen, afhankelijk van de structuur van die URL's. Gewoon één URL vinden geeft je niet het antwoord en als je zo aan een voorbeeld van een naam komt heb je kans dat dat is van een onbekend persoon wiens omgeving helemaal niet wist dat het een FvD'er is.

PhilipsFan @Keypunchie • 1 december 2022 23:31

Als iemand de gordijnen open laat en ik kan vanaf de straat zien wat er in huis is, en ik schrijf dat op, en ik doe dat bij alle huizen in de hele stad, dan heb ik geen enkele wet overtreden.

Gast Gebruiker @Keypunchie • 1 december 2022 20:13

Ik weet niet waar precies de scheidslijn licht tussen wederrechtelijk verwerken en journalisme maar het controleren van de database door middel ctrl-f'en naar enkele (oud-)leden, die bij het grote publiek bekend zijn, zoals Baudet en Nanninga, lijkt mij juridisch en ethisch wel verantwoordt. Als je gaat zoeken naar willekeurige personen zoals je buurman of collega's dan kan ik er nog wel inkomen dat dit te ver gaat in het kader van journalisme.

Keypunchie

Nederland

@Gast Gebruiker • 1 december 2022 20:59

Maar is dit journalistiek nodig is de vraag

“Het gros van de mensen van wie de gegevens zijn gelekt, komt uit Amsterdam (3400), Den Haag (2500), Rotterdam (2300) of Almere (1200): in deze steden vind je de meeste Forum-leden. Driekwart van de leden is man”

Dit heeft niks met het feit dat er een lek is en dat er bepaalde prominente leden tussen zitten. Dat is idd. nieuwswaarde.

Bovenstaande is data-analyse, wat imho gewoon net te ver gaat en buiten de lijntjes van nieuwsgaring.

Je hebt dan niet meer alleen even ‘gekeken’.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 21:04]

moredruid @Keypunchie • 7 december 2022 13:27

tja, het klopt dat het data-analyse is. mochten ze dit op basis van de kolommen "postcode" en "geslacht" gedaan hebben dan doen ze niets meer dan geanonimiseerde data bevragen. Iets wat het CBS ook doet. En tig andere bedrijven die zich bezighouden met statistiek (KvK om er eens een te noemen).

Keypunchie

Nederland

@moredruid • 7 december 2022 13:36

Het is nog wel even een verschil of je dat doet met data die je zelf vergaard hebt/legitiem toegang toe hebt, of data waar je op iemands anders server over bent gestruikeld.

Als jouw laptop niet vergrendeld is, dan is er wel even een verschil tussen dat ik zeg: "heej je laptop stond open en ik kon dus je fotoalbum inzien", of dat ik zeg: "je laptop stond open, ik heb even al je foto's gekopieerd en hier een leuk overzichtje gemaakt van hoeveel foto's een selfie zijn, en hoeveel foto's van landschappen en hoeveel een huisdier bevatten. Deze ga ik nu publiceren!"

Het is een "onschuldig" lijstje, maar het is een stap te ver gaan met *jouw* data.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 21:04]

Muncher @kokx • 1 december 2022 19:03

Kan iemand mij uitleggen wat er nu precies fout is aan het handelen van RTL hier? Ik zie een boel reacties die allemaal zeggen dat RTL een stap te ver is gegaan, maar niet waarom dat zo is.

Anoniem: 392841 @Muncher • 1 december 2022 19:16

Ik heb dat al in Anoniem: 392841 in 'Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen door datalek' uitgelegd. Het precedent tot dusver is altijd geweest dat journalisten itt de rest wel de dataset mogen downloaden en inzien&verifieren, om te kunnen zeggen dat inderdaad er een lek is en dat het lek inderdaad om geldige gegegevens gaat. Als bv white hat hacker zou je bij het downloaden van de dataset mogelijk al in de problemen komen met het OM - journalisten hebben hier een uitzondering op als het belangrijk genoeg is.

Ook @HooksForFeet - dit precedent bestaat al langere tijd, en er is hierin ook een duidelijk verschil. Want ik kan me nieuwsartikelen herinneren waarbij Nederlandse white/grey hat hackers in de problemen met het OM zijn gekomen puur vanwege het downloaden van een dataset nadat ze een lek in een beveiliging hadden gevonden, zelfs als ze de data daarna weg hadden gegooit. En als ik het me goed herinner hield het telkens verband met computervredebreuk.

[Reactie gewijzigd door Anoniem: 392841 op 22 juli 2024 21:04]

Muncher @Anoniem: 392841 • 1 december 2022 20:20

De comment van jezelf waar je aan refereert, bevat geen uitleg waarom dit dan niet zou mogen: alleen dat het een "precies een paar stappen te ver is". Welke stappen dat dan zijn en waarom die te ver gaan, blijft onduidelijk.

Ik stel overigens niet dat ik het oneens ben met je. Ik wil gewoon begrijpen wat er dan precies niet mag en op basis van welke grond.

Wat ik zelf kon vinden was dit artikel van @Arnoud Engelfriet uit 2011 (https://www.ictrecht.nl/b...hackers-wenselijk-of-niet). Daarin staat ook een link naar een artikel met het antwoord (gok ik), maar die geeft helaas een 404... (https://www.ictrecht.nl/c...de-computercriminaliteit/)

Edit: typo en link toegevoegd naar missende artikel.

[Reactie gewijzigd door Muncher op 22 juli 2024 21:04]

Arnoud Engelfriet

Politiek en recht

@Muncher • 2 december 2022 10:28

Je mag voor journalistieke doeleinden strafbare feiten verrichten als dat absoluut noodzakelijk is (geen enkele andere manier) om een ernstige misstand aan te tonen. Dus bij een misstand als "politieke partij beschermt persoonsgegevens leden niet goed" mag je de slechte bescherming beproeven en daadwerkelijk kijken of je ledengegevens krijgt.

De héle database downloaden gaat eigenlijk altijd te ver, tenzij er discussie is over "dit betreft een paar geïsoleerde records". Want dan is de misstand ook "de partij liegt over de scope van het lek". Maar ik denk dat het wel kan voor de zekerheid in een situatie als deze, mits je daarna de databank helemaal isoleert zoals radioactief afval. Daarna eruit citeren om de omvang te illustreren, met dan bekende leden om de privacy-impact te minimaliseren, moet denk ik nog net kunnen.

Dus nee, ik zie zo niet of er stappen te ver zijn genomen.

alwuzomondo @Arnoud Engelfriet • 2 december 2022 13:26

Bij FvD is er al tijden discussie over hoeveel betalende leden ze nu echt hebben. Ze claimen er 60.000, en ook subsidie obv dat aantal, uit dit lek blijkt nu dat er slechts 43.000 betaald hebben. Dit is 'misstand over aantal leden' wat je ook alleen kunt aantonen door gehele data set te downloaden en betaalstatus te bekijken.

mjtdevries @Arnoud Engelfriet • 2 december 2022 13:32

Volgens mij zijn de meeste mensen het er over eens dat wat jij aangeeft wel moet kunnen.

Maar wat vind je van het vervolg bij RTL? Uitzoeken hoe de verhouding man/vrouw is en hoeveel leden er in welke steden wonen?
Dat heeft niks meer met het lek te maken.
Is het naar jouw mening toegestaan om de gegevens daarvoor te gebruiken?

Ik zie daarin geen groot maatschappelijk belang, dus zowel vanuit de wet maar ook de code voor de journalistiek lijkt me dat over de grens?

deadlock2k @Muncher • 1 december 2022 20:27

https://web.archive.org/w...de-computercriminaliteit/

HooksForFeet @Anoniem: 392841 • 1 december 2022 19:24

Maar.. Dat is niet hetzelfde als een juridisch precedent. En je noemt ook niet het wetsartikel waar je dit op baseert.

Anoniem: 392841 @HooksForFeet • 1 december 2022 19:29

Als het OM besluit een journalist niet te vervolgen (of de politie de aangifte zelfs niet in behandeling wilt nemen) vanwege het downloaden van een dataset bij een lek in een systeem ergens anders, en dat consequent doet terwijl anderen wel voor hetzelfde vergrijp worden vervolgd en/of beboet, dan heb je een precedent. Het is nogal muggenziften of dat een juridisch precedent is of niet.

Het wetsartikel heb ik even vlug voor je opgezocht - als ik het goed dus heb, gaat het om art 138ab Sr.

kiang

@Anoniem: 392841 • 1 december 2022 21:40

Beleid van het OM zijn geen juridische precedenten, wat je zegt klopt dus gewoonweg niet. Stop dus ajb even met je paniekzaaierij en demonisering van de journalistiek.

Toch wel opvallend dat zodra het om daadwerkelijke journalistiek gaat (en niet gewoon een rioolputblog met onzin complotten) FvD de vrije pers zowat op de brandstapel wil gooien omdat ze hun werk doen, vooral dan zodra de beerput die FvD is open wordt getrokken.

Anders @kiang • 2 december 2022 08:26

Man die precedenten zijn er volop. Journalistieke vrijheid weegt absoluut mee.
https://www.rtlboulevard....er-hoes-niet-onrechtmatig

Hoboist @kiang • 2 december 2022 00:20

Ook wel interessant wat er in de hoofden van Baudet en verwanten om zou zijn gegaan: "tof dat rtl ons waarschuwt, maar euh, het is de mainstreammedia, dus bedanken kunnen we ze niet. Demoniseren dan maar? O nee, dat kan ook niet, want ze kunnen het aantonen dat ze het bij het rechte eind hebben. Nou ja, dan maar eerst even negeren en als het echt blijft dooretteren dan zeggen we maar dat de app gewoon goed beveiligd was en RTL de app eigenlijk heeft gehackt...

Bovenstaande gedachtegang is slechts een vooronderstelling; ik kan er volledig naast zitten.

HooksForFeet @Anoniem: 392841 • 1 december 2022 19:36

Een juridisch precedent is een uitspraak van een rechter in een vergelijkbare zaak. Dat is gewoon een juridische term met een specifieke definitie, geen muggen often. Het OM is geen rechter en kan derhalve geen juridisch precedent scheppen.

"wetsartikel computervredebreuk" googelen om achter het nummer te komen kan ik overigens ook. Dat maakt je nog geen jurist die het soort uitspraken dat jij hier doet juridisch kan onderbouwen.

mjtdevries @HooksForFeet • 2 december 2022 13:28

Als je nou eens op de inhoud in gaat en niet probeert om puntjes te scoren.

Jij weet ook drommels goed dat er de nodige uitspraken van rechters en zelfs de hoge raad hierover zijn geweest. Die hebben precedent geschapen.
En vanwege dat precedent besluit een OM dan bij voorbaat om een journalist niet te vervolgen.

MicBenSte verwoord het niet 100% correct, maar hij heeft wel gewoon gelijk dat een Journalist in Nederland de data mag downloaden om te verifieren of er sprake is van een datalek. Terwijl een willekeurig persoon aangeklaagd word.
Omdat bij een journalist de afweging word gemaakt of de overtreding proportioneel is tov het maatschappelijk belang.

deadlock2k @Anoniem: 392841 • 1 december 2022 20:05

Je hebt niets uitgelegd, je hebt een mening verkondigd die gebaseerd is op nattevingerwerk, je weet niet wat een precedent/jurisprudentie is maar denkt het toch te kunnen uitleggen, snapt niet wat de rol van het OM is, et cetera.

Frame164 @Muncher • 1 december 2022 19:17

Vul.voor FvD Facebook oid in en iedereen op dit forum had de mensen van RTL helden gevonden. Er is hier sprake van erg willekeurige verontwaardiging. Wellicht FvD sympathisanten?

theobril @Frame164 • 1 december 2022 20:28

Wat maakt je zo stellig dat bij facebook mensen hier de RTL-figuren helden zouden vinden? Een beetje onderbouwing zou erg welkom zijn. Ik durf zelfs te zeggen dat je eigen verontwaardiging in dezen erg willekeurig is.

GrooV @kokx • 1 december 2022 18:58

Dit is wel degelijk belangrijk omdat FvD weigert een actueel leden aantal te noemen en niet reageert op mensen die verwijdert willen worden uit het leden bestand. Nu er een hoop ex-leden tussen zitten blijkt dat FvD daar gewoon niks mee doet

Groningerkoek @GrooV • 1 december 2022 19:27

Wat jij noemt is iets van vroeger, daarnaast mogen partijen nog enige tijd gegevens bewaren van ex-leden. Dit is ook omdat partijsubsidies worden verdeeld aan de hand van ledenaantal en de aantallen hiervoor door een accountant geverifieerd zijn.

GrooV @Groningerkoek • 2 december 2022 11:27

Ledenaantal is peildatum 1 januari en gaat alleen over actieve leden. Als je op 2 januari geen lid meer wil zijn is er geen grondslag om je nog in het leden bestand te houden. Politieke voorkeur is een bijzonder persoonsgeven en er is dan geen grondslag meer om deze te bewaren.

Groningerkoek @GrooV • 2 december 2022 13:35

Misschien moet je de wet financiering politieke partijen even doorlezen. Een politieke partij is verplicht een dusdanige administratie te voeren dat alle gedurende een bepaalde periode alle inkomsten geverifieerd kunnen worden. Daarnaast vergeet je 1 ding, een politieke partij die jouw NAW gegevens bewaard is iets heel anders dan de Hema of Netflix die een politieke voorkeur van zijn klanten wil bewaren.

GrooV @Groningerkoek • 2 december 2022 13:55

Misschien moet je de wet AVG even doorlezen. Hema of Netflix mogen geen politieke voorkeur bewaren

Groningerkoek @GrooV • 2 december 2022 14:18

Juist, en een politieke partij wel. (Tenminste ze registreren die niet, maar het vloeit bijna automatisch voort uit het lidmaatschap)

Wel mogen allen mits dit voor de boekhouding nodig is of uit een wettelijke verplichting vloeit nog geruime tijd jouw NAW gegevens bewaren na opzegging.

FVD is nogal vaag in haar voorwaarden, maar een partij van de dieren heeft bijvoorbeeld heel duidelijk staan dat zij NAW gegevens na opzegging nog tot 10 jaar kunnen bewaren.

Het CDA is bijvoorbeeld zeer duidelijk in haar voorwaarden en vermeld:

De bewaartermijn is afhankelijk van het soort persoonsgegeven, het doel waarvoor de persoonsgegevens worden verwerkt en de wettelijke bewaarplichten. Zo moeten wij sommige persoonsgegevens, zoals namen en adresgegevens van onze leden, op grond van de Wet financiering politieke partijen verplicht tien (10) jaar bewaren.

[Reactie gewijzigd door Groningerkoek op 22 juli 2024 21:04]

Tc99m @GrooV • 1 december 2022 19:59

Dat FvD (blijkbaar?) schimmig doet over hun ledenaantal (dat is overigens nieuws voor mij, volgens mij zijn ze daar altijd redelijk open over geweest), FvD is gewoon open over hun ledenaantal, en zelfs dan is dat geen legitieme reden om als journalist hun ledenadministratie via "niet officiële wegen" in te kijken. De nieuwswaarde (en legitimatie) zit er in dit geval in dat ze hun beveiliging niet op orde hebben.

Het is ook niet per definitie verboden om gegevens van oud-leden nog een tijdje te bewaren, maar daar zit wel een termijn aan vast (ik weet niet hoe lang die is). Bij sommige oud leden (bijv. Otten, Eerdmans, etc.) die al een tijdje zijn opgestapt, kun je je afvragen of die niet inmiddels verwijderd hadden moeten worden, maar van leden die recentelijker hun lidmaatschap hebben opgezegd zou dat niet zo vreemd zijn.

[Reactie gewijzigd door Tc99m op 22 juli 2024 21:04]

Benjamin- @Tc99m • 1 december 2022 23:43

De nieuwswaarde zit in dit geval er dus in dat ze zowel slechte beveiliging hebben, als dat ze de data van oud leden niet verwijderen. Jij mag dat tweede niet zo relevant vinden en verdedigen dat data van recente leden nog beschikbaar zijn. Maar zoals jij ook al zelf aangaf, Otten zit nog wel in het systeem, en die is al 3 jaar weg.

Het ledental staat tegen de 60.000, dat betekent dat de data van ruim 30 leden nog in hun systemen staan. Dat zijn echt geen leden van het afgelopen jaar.

Dus jij mag beweren dat er geen legitieme reden is om het in te kijken, maar ik zou hier juist keihard tegenover zetten dat dit juist een legitieme reden is, dat het juist goed is dat dit aan het licht wordt gebracht dat FvD schijt aan de wet heeft... oke dat was al bekend, maargoed dit is dan weer extra bewijs.

mjtdevries @Benjamin- • 2 december 2022 13:14

Waar het om gaat is hoe ver een journalist mag gaan om zijn data te vergaren?

Mag een journalist de wet overtreden om te kijken de claims van FvD over hun ledental kloppen?
Mag een journalist illegaal verkregen materiaal gebruiken om te kijken of die claims kloppen.

In de Nederlandse rechtspraak word dan een afweging gemaakt of de overtreding proportioneel is tov het maatschappelijk belang.

De code voor journalistiek geeft het volgende aan:

28. De journalist maakt geen gebruik van onrechtmatig door derden verkregen informatie, tenzij met publicatie daarvan een groot maatschappelijk belang is gediend.

Dat er een dergelijk groot datalek is, is van groot maatschappelijk belang.
Maar is dat groot maatschappelijk belang er ook voor het uitzoeken hoeveel leden er in Amsterdam, Rotterdam en Den Haag wonen?

[Reactie gewijzigd door mjtdevries op 22 juli 2024 21:04]

Benjamin- @mjtdevries • 2 december 2022 18:40

In dit geval is het grotere maatschappelijk belang van dien, en dus doen zij gewoon hun werk.

Het is ook een kip en ei verhaal. Er is informatie maar de journalist weet niet of deze informatie van groot belang is, dus moet deze dat onderzoeken.
Wat dus vooral belangrijk is, is welke informatie zij dan delen, en met welk doel.

In dit geval spreken ze over ex-lidmaatschappen van bekende ex-FvD'ers, dus dat is publieke info en daarmee komt het maatschappelijke belang naar voren, namelijk dat Forum niets verwijdert en schijt heeft aan de wet.

Wat betreft waar de meeste leden zitten, dat vind ik ook onzinnige info. Dat is hetzelfde als uit een datalek halen dat veel SGP'ers in de biblebelt wonen, en is verder totaal niet nieuwswaardig.

Jaman287 @GrooV • 2 december 2022 11:10

Wie zegt dat het opzeggen van het lidmaatschap automatisch betekent dat zij ook verwijderd willen worden? Het zou toch kunnen zijn dat een betalend lid even geen geld heeft en zijn lidmaatschap tijdelijk opschort om daarna voort te zetten?
Tevens, zoals ik ook hierboven in een van mijn andere reacties heb geschreven mogen factuurgegevens niet zomaar verwijderd worden omwille van fiscale verplichtingen van organisaties.

GrooV @Jaman287 • 2 december 2022 11:30

Onzin, factuur van het lidmaatschap moet in de boekhouding, niet in de ledenadministratie.

Uitzonderingsgrond van art. 9 lid 2 sub d AVG geldt alleen voor actieve leden, geen lid = geen grondslag voor het verwerken van Bijzondere persoonsgegevens waar politieke voorkeur onder valt en dan is het verboden om deze te vewerken.

Fiscale verplichting staat compleet los van de ledenadministratie en zegt ook niks over de politieke voorkeur. Al kan je uiteraard afvragen waarom iemand zou betalen zonder lid te willen zijn.

Jaman287 @GrooV • 2 december 2022 11:51

Ik doel hier op het verwijderen van gegevens. Factuurgegevens (NAW) moeten bewaard worden voor de duur van minimaal 7 jaar. Andere persoonsgegevens, zoals telefoonummer, e-mailadres, etc. hebben daar niets mee te maken, die moeten gewist worden inderdaad.

Mijn inziens wordt de categorie politieke voorkeur niet specifiek verwerkt in de ledenadministratie. Wel zegt het feit dat iemands persoonsgegevens in die ledenadministratie staat iets over zijn/haar politieke voorkeur.

PolarBear @kokx • 1 december 2022 17:51

Nou ja van een aantal prominente ex leden, denk aan Joost Eerdmans, is bekend dat ze ex leden zijn. Ik snap wel dat ze even gekeken hebben of die ook in de lijst voorkwamen. En dat er bovenop een lekke database ook nog eens ontrecht informatie lang wordt vastgehouden door de FvD.

kokx @PolarBear • 1 december 2022 17:55

Dat gaat er geheel aan liggen op welke manier er naar gekeken is (en dus ook wat het lek precies is).

Als ik tussen de regels doorlees, lijkt het om enumeratie te gaan. Dat je bijvoorbeeld een URL /profiel/<id> hebt, en je simpwelweg door alle IDs heen gaat. Als je dan weet wat het ID is van Joost Eerdmans, dan kun je dat controleren zonder andere gegevens in te zien. Maar als je dan nog op zoek moet door andere profielen aan te spreken, ga je toch meer gegevens binnenhalen.

Nu is dat wel speculatie. Er zijn zeker lekken te bedenken waarbij het anders zit.

NielsFL @PolarBear • 1 december 2022 18:03

Toch is het niet logisch. Als je een valse data set maakt (bijvoorbeeld om te verkopen) dan zet je daar alle reeds bekende leden in. Juist die leden checken bij wijze van test heeft dan ook geen nut.

moredruid @kokx • 1 december 2022 17:56

Hoe moet je weten of iemand wel of niet lid is? Daarvoor zul je toch in ieder geval een deel van het bestand moeten doorlopen. Het kan prima zijn dat ze eerst gevraagd hebben aan familie/collega's of ze dit accepteerden alvorens ze de gegevens uit het lijstje visten. En uiteraard kijk je of er "grote vissen" tussen zitten, zoals de gegevens van Thierry Baudet of ene W.A. van Buren.

Al is het alleen maar om die personen te kunnen waarschuwen zodat ze hun nummer kunnen wijzigen.

kokx @moredruid • 1 december 2022 17:59

Het waarschuwen van die personen is absoluut niet aan RTL of een andere organisatie. Dat ligt helemaal bij FvD zelf. Wat ook verplicht is bij een datalek.

Blizz @kokx • 1 december 2022 19:15

Er zijn een aantal extremistische partijen waarin ik 0 vertrouwen heb dat ze ook maar een snars geven om iemand als diegene niet hun persoonlijke dictatoridool is en deze partij is daar een van, dus je vertrouwen in hen plaatsen zou ik niet doen.

Hoboist @Blizz • 2 december 2022 00:26

Jij vertrouwt ze niet, maar bent waarschijnlijk ook geen lid en jij hebt er dus persoonlijk ook geen last van. Als je in deze dataset zit en lid bent van de FvD geloof je vast Thierry Baudet als hij beweert dat het wel meevalt en ook dan maak je je er niet druk over. Waarschijnlijk zullen alleen ex-leden zich er vervelend bij voelen.

Philpend @kokx • 1 december 2022 18:24

RTL heeft, afgezien van een paar namen van wie je het toch al wist, geen enkel persoonsgegeven gepubliceerd. Ze hebben enkel gepubliceerd dat er een heel groot lek is geconstateerd. Ik snap niet zo goed wat hier misbruik aan is, RTL doet hier precies waar we journalisten voor hebben.

Anoniem: 392841 @Philpend • 1 december 2022 18:31

Ze hebben ook data-analyse op het lek los gelaten (verhouding m/v, aandeel personen voor sommige gemeenten, etc). Een gedeelte daarvan kan je iig in het artikel van RTL terugvinden. En dat is precies een paar stappen te ver. Verificatie en controle is prima, maar verder dan dat absoluut niet.

Tc99m @Anoniem: 392841 • 1 december 2022 19:51

Turven hoe vaak een bepaalde provincie/woonplaats in de lijst voorkomt kan ook prima met een geanonimiseerde lijst, en de resultaten zijn niet tot specifieke personen te herleiden (tenzij er in Nederland woonplaatsen met maar 1 inwoner zijn).

mjtdevries @Tc99m • 2 december 2022 12:46

Maar dan is het onderwerp van het artikel dus niet meer dat er een lek is.

Dan ga je met de illegaal verkregen informatie een totaal ander artikel schrijven. En daarvoor hebben ze geen wettelijke bescherming om illegaal verkregen informatie te gebruiken.

Overigens zie ik die data analyse niet staan. Maar ik kijk wellicht naar het verkeerde artikel van RTL.

Omemanti @kokx • 1 december 2022 18:14

Als journalist moet je ook eea kunnen verifiëren. Dat is een zeer belangrijk deel van je werk. Je zal dus wel door een deel van die dataset moeten gaan. Anders krijg je speculatie en juist het gene waar we de afgelopen jaren zo spuugzat van waren (ongefundeerd en niet geverifieerd nieuws...)

Ze doen het natuurlijk nooit goed.

IStealYourGun @kokx • 1 december 2022 19:21

Het statuut van journalist is zeer goed beschermd in de EU. Zolang ze niets publiceren of doen dat schade kan toebrengen aan individuen, doet ze weinig fout. Er zijn meer dan genoeg cases waar journalisten veel verder zijn gegaan zonder enig gevolg.

En dat is maar goed, want de pers heeft een belangrijke taak in een democratie en wordt niet voor niets de vierde pijler genoemd.

TechSupreme @kokx • 2 december 2022 00:27

Een journalist die zn werk doet is in het algemeen belang. Dat ze daarbij soms de wet expliciet moeten overtreden maakt niks uit en is zelfs beschermd. Journalisten moeten wel vaker dingen doen die net op of over het randje van de wet is om aan informatie te komen. Zolang de middelen het doel rechtvaardigen is er niks aan de hand.

Wat had je dan gewild, dat RTL zomaar een melding aanneemt als waar en daar over bericht? Natuurlijk moeten ze zelf controleren dat het waar is. Het zou pas onethisch zijn als ze erover hadden bericht zonder het eerst te controleren. Wat jij zegt is de omgekeerde wereld.

Je zou je eerder druk moeten maken over een politieke partij die laks omgaat met wettelijk beschermde gegevens.

Terrestrial @kokx • 1 december 2022 20:40

Dat is dus ook precies wat ik dacht. Het komt de journalisten natuurlijk wel heel goed uit om FvD weer in een slecht dag licht te kunnen stellen en schuiven het daarna snel af op een "anonieme tip" Overigens blijft het uiteraard slecht van de FvD om een app die zo lek is als een vergiet zo te lanceren.

PalingDrone @Terrestrial • 1 december 2022 22:58

Volgens mij was het vooral het FvD dat op al het hun onwelgevallige begon met "fake news" roepen.
Het komt journalisten vast en zeker goed uit na al dat gedemoniseer vanuit FvD richting de pers,
Deze door Forum veroorzaakte blunder van formaat levert iig prima kopij op.

Wilfred86 @kokx • 2 december 2022 12:14

Ik moet hier toch even op in gaan. De laatste tijd zie ik steeds meer reacties waarin wordt geopperd of gesuggereerd dat journalisten strafbaar bezig zijn.

Journalisten zijn en moeten worden beschermd omdat ze een belangrijke controlerende taak hebben binnen een democratie. Dat dat bepaalde groepen of personen niet goed uitkomt, sterkt dit argument alleen maar.

In dit geval zijn er niet eens persoonsgegevens vrijgegeven zoals jij stelt. De lijst zelf is namelijk niet gepubliceerd.

De enige partij (no pun intended) die hier fout zit, is de FvD zelf. Zij hebben de privacy van hun (oud)-leden aangetast door oud-leden niet uit de database te verwijderen en ook nog door deze lijst slecht te beveiligen. Goed dus dat dit aan de kaak wordt gesteld.

[Reactie gewijzigd door Wilfred86 op 22 juli 2024 21:04]

bArAbAtsbB 1 december 2022 18:37

90k leden en ex leden, hoeveel leden hebben ze dan? minder dan 90k dus

Das best weinig, maarja schreeuwers hoor je altijd als eerste.

ps. waarom is contributie ed eigenlijk in de website verwerkt? het klinkt als een amateurprojectje die website.....een ijverig lid dat bij de bijeenkomst garandeert dat hij het wel ff fikst!

[Reactie gewijzigd door bArAbAtsbB op 22 juli 2024 21:04]

WhatsappHack

Politiek en recht
Privacy
Nederland
Datalek

@bArAbAtsbB • 1 december 2022 18:48

Let op dat leden != stemmers. Ze beweren 56K betalende leden te hebben, volgens RTL hebben echter maar zo’n 40K werkelijk betaald.

PalingDrone @WhatsappHack • 1 december 2022 19:07

Dat lijkt mij wat lastig voor RTL om in 1 oogopslag te zien, deze conclusies kan je pas trekken nadat je de hele database geanalyseerd hebt en dat lijkt mij dan weer niet zijn taak. (al snap ik de verleiding wel)
Wanneer een RTL journalist n.a.v. een tip langs mijn huis loopt mag hij constateren dat de deur openstaat, even een blik naar binnen werpen en vervolgens zijn verhaal optikken.
Loopt hij naar binnen, begint mijn interieur op te nemen, wandelt de trap op om eens boven te kijken en daar verder te speuren dan is hij op dat moment wel flink in overtreding, ook al was de gelegenheid daar.

WhatsappHack

Politiek en recht
Privacy
Nederland
Datalek

@PalingDrone • 1 december 2022 19:13

Ik weet niet of die vergelijking opgaat, gezien in dit geval de app doodleuk de informatie zelf uitspuugde in antwoord op je query. Plus, als ze een sample nemen en daar zien ze zaken die niet kloppen; dan is het journalistiek wel relevant om verder te kijken.

RTL heeft dus niet ingebroken op de server of een beveiliging omzeild, de app zat gewoon zo in elkaar dat het de info vrijwillig opgaf; komt geen gehackte account aan te pas of wat dan ook; haast een publieke API.

Als ik vanaf jouw open deur naar binnen roep en jou vraag om even foto’s te maken van je bovenverdieping en jij doet dat meteen en geeft die aan mij - ben ik dan in overtreding…?

Het is een lastig vraagstuk, want wanneer ga je te ver en wat is de grens tussen gebruik en misbruik in dit soort gevallen. (Zeker als het om journalistiek en waarheidsvinding gaat) Vergelijkbaar was misschien toen met HeartBleed. Je kon dan de server verleiden allerlei gevoelige shit uit te laten spugen. Of dat strafbaar is om dan te doen is de vraag en kan per land verschillen, maar wat dan nog veel belangrijker is is wat je vervolgens doet met die gegevens. Enkel bekijken, zoals RTL deed, kan je denk ik weinig van zeggen. Echter die database data gebruiken om geld van een rekening te jatten of inbreken op een volgend systeem is weer een heel ander verhaal en wel 100% zeker strafbaar.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 21:04]

PalingDrone @WhatsappHack • 1 december 2022 19:34

In dat geval werkt de eigenaar, moi van bovenaf, hier bewust aan mee.
Ik neem niet aan dat FvD de intentie had om ook maar iets van deze database openbaar te maken.
Als iemand jou een loper van mijn huis geeft dan mag je nog steeds niet naar binnen, je mag hooguit proberen of de sleutel daadwerkelijk past (als journalist) anders begint het al heel snel op een inbraak te lijken.
Is zeker een lastig vraagstuk, ik begrijp de verleiding wel maar heb ernstige twijfels of de grens tussen aantonen en er verder induiken, ondanks dat je geen toestemming hebt van de eigenaar, hier op een legale manier gegaan is.

Tc99m @PalingDrone • 1 december 2022 21:35

Los van of de "sleutel" analogie hier wel opgaat (je had geen sleutel nodig om bij de gegevens te komen - je zou ook de analogie kunnen gebruiken dat de ledenadministratie voor een open raam lag en dus voor iedere toevallige voorbijganger inzichtelijk was): als jij als journalist een tip krijgt dat er een deur open staat waarachter gevoelige persoonlijke gegevens liggen, kan het legitiem zijn om als journalist door die deur te lopen en te verifiëren dat het daadwerkelijk gevoelige persoonlijke gegevens zijn.

Als jij dat als journalist kan, kunnen anderen dat namelijk ook, en ook al is het wellicht niet legaal om de data te bekijken, het feit dat iedereen kan, is nieuwswaardig en daar mag je als journalist verslag van doen.

PalingDrone @Tc99m • 1 december 2022 22:24

Ziet er meer uit als een laptop in de voortuin, unlocked, ingelogd en niemand in de buurt.
(En dan bedoel ik niet een pc die bewust aan de straat gezet werd...)
Nieuwswaardig is het zeker, ging mij meer om een analyse van het ledenbestand, dat vond ik nogal opmerkelijk.

WoutervOorschot

@PalingDrone • 1 december 2022 20:56

Als je niet de intentie hebt je data op straat te leggen moet je je data niet op straat leggen

Keypunchie

Nederland

@WhatsappHack • 1 december 2022 22:13

(ze hebben alleen geen sample genomen, maar de hele dataset binnengehaald. En vervolgens wat overzichten gemaakt met zaken als “x000 leden wonen in Amsterdam (zie bronartikel) )

Anoniem: 1582350 @Keypunchie • 1 december 2022 22:33

Hadden zij voor die gegevens wel een verwerkingsovereenkomst met FvD? Waarschijnlijk niet.

sylvester79 @WhatsappHack • 2 december 2022 19:40

Stel je legt een aanmeldt boek neer buiten voor de supermarkt, hierin kunnen mensen zich inschrijven en daarbij schrijven ze allemaal persoonlijke zaken op. Later blijkt dat iemand door het boek heeft gebladerd en foto's heeft gemaakt is hij dan strafbaar?

Als RTL de persoon gegevens voor hun analyse heeft verwijderd dan is dat gewoon toegestaan, de data was openbaar. Enkel mag RTL deze data niet opslaan vanuit de AVG.

Persoonlijk denk ik dat FvD een enorm probleem heeft, niet enkel met de AP die een onderzoek gaat starten maar ook met de (ex)leden waarvan hun gegevens zijn gelekt. De GGD heeft na hun lek van 150 gegevens, de slachtoffers schadeloos gesteld met een bedrag van 500-1250 euro. Stel dat FvD tot zoiets door de rechter wordt veroordeeld is dit bij 500 euro al 45 miljoen.

graey @PalingDrone • 1 december 2022 20:09

Wanneer de RTL de tip heeft gehad dat jij per ongeluk je hele huisraad op straat hebt gezet, dan is dat weer een andere vraag.

Retrospect @WhatsappHack • 1 december 2022 19:11

Waarmee het qua ledenaantal nog steeds tot een van de grootste partijen behoord. Nederlanders lopen schijnbaar niet zo warm om lid te worden van een politieke partij. En dat is wel spijtig want dan worden bestuurders en politici uit een te kleine poule gehaald.

HooksForFeet @WhatsappHack • 1 december 2022 19:20

Dat is interessant want over de inkomsten van FvD zijn al een tijd veel vragen. Nu blijkt toch wel heel duidelijk dat het gros daarvan niet van de contributie van hun vele leden komt, zoals ze altijd beweerden maar niet met cijfers wilden staven.

Tc99m @HooksForFeet • 1 december 2022 21:20

Nee, juist niet. Uit het artikel van RTL nieuws blijkt dat wat FvD over ledenaantallen zegt, lijkt te kloppen. Alleen heeft nog niet iedereen zijn contributie betaald voor dit jaar. Het zou ook vreemd zijn als dat niet zou kloppen, want ledenaantallen van politieke partijen moeten door een accountant worden gecontroleerd, anders krijg je geen subsidie.

Tc99m @WhatsappHack • 1 december 2022 20:07

In het artikel van RTL staat: 40k leden hebben dit jaar hun contributie betaald, bijna 20k leden moeten dat nog doen. FvD claimde eerder (bijna) 59k leden te hebben. Dus dit lijkt gewoon te kloppen. Hoeveel leden een partij heeft moet ook door een accountant worden geverifieerd, i.v.m. de hoogte van de subsidie die politieke partijen krijgen.

r03n_d @WhatsappHack • 1 december 2022 21:26

Directe quote van het artikel op rtlnieuws.nl

Uit de gegevens blijkt dat ruim 43.000 leden sinds 1 januari van dit jaar hun contributie hebben betaald. Van ruim 20.000 mensen gaat dat mogelijk nog gebeuren, waardoor dit aantal kan oplopen.

Jouw opmerking "volgens RTL hebben echter maar zo’n 40K werkelijk betaald" mag dan wel feitelijk juist zijn, RTL brengt daar zelf een zeer belangrijke nuance in aan die door jou achterwege is gelaten.

fsfikke @r03n_d • 2 december 2022 08:14

Het is inmiddels de laatste maand van het jaar. Klinkt toch erg op ‘we hebben echt wel meer betalende leden hoor! Ze betalen alleen niet…’

Groningerkoek @bArAbAtsbB • 1 december 2022 19:20

Jij mag het weinig noemen, maar schijnbaar hebben ze wel de meeste betrokken aanhangers, want de FVD heeft van alle partijen wel de meeste leden.

bArAbAtsbB @Groningerkoek • 1 december 2022 21:28

Dat er nog Forum aanhangers zijn verbaasd me zowiezo, iedereen kan zien hoe deze "partij" zichzelf continue belachelijk maakt.

Ze zijn te hard gegroeid en hebben de gekkies binnen de beweging niet tijdig gesignaleerd...en daar moeten ze dan de prijs voor betalen. Het helpt natuurlijk ook niet dat Baudet een fan van Putin en Trump is... de clownbrigade is compleet.

_Pussycat_ @bArAbAtsbB • 2 december 2022 14:57

De gekkies staan aan de kop, Baudet zegt zelf dat hij aan hagedissenmensen gelooft.

Misschien is dat een beetje reclame om te gekkies aan te trekken, misschien is het echt, maar in ieder geval zijn gekkies welkom.

bArAbAtsbB @_Pussycat_ • 2 december 2022 15:21

1/3 van die gekkies heeft de contributie voor 2022 nog niet betaald

Groningerkoek @bArAbAtsbB • 2 december 2022 00:09

Na al die mensen die ik de afgelopen 2 jaar heb geblokkeerd op FB wegens dom Corona gezanik ben ik ervan overtuigd dat er een enorme markt open ligt voor een partij die kolder en waanzin aanhangt.

sylvester79 @Groningerkoek • 2 december 2022 19:36

De vraag is of je een lidmaatschap ook direct kenmerkt als betrokken. Bij hun congres kwamen circa 2.500 leden/geïnteresseerde bij de VVD kwamen er 2.000 dit is minder, maar de VVD heeft de helft minder leden. Ook bij D66 kwamen in verhouding meer leden naar het congres, dit lijkt me dus een uiting van betrokkenheid.

Groningerkoek @sylvester79 • 2 december 2022 19:40

Ik zei: "meeste betrokken aanhangers" en niet "meeste betrokken leden"

Ik kenmerk een betalend lid als betrokken aanhanger en daar heeft de FVD het meeste. iemand anders mag gerust een andere definitie hanteren en dan zal de uitkomst ook anders zijn.

Retrospect @bArAbAtsbB • 1 december 2022 18:42

Er is geen enkele politieke partij in Nederland die vandaag de dag boven de 60.000 uitkomt qua leden.

sylvester79 @Retrospect • 2 december 2022 20:04

FvD heeft er 58.890 in 2022 volgens RTL nieuws hebben hier er 40.000 van betaald, hiermee zijn ze nog steeds de grootste leden partij.

Vreemde blijft dat tijdens hun partij congres in verhouding minder leden kwamen opdagen dan bij VVD of D66 bijvoorbeeld. Ook tijdens protesten blijft de opkomst op maximaal 1000 aanhangers hangen, waarbij op de Dam maar slecht 300 kwamen.

En door de standpunten van FvD verwacht je juist zeer actieve leden omdat hun standpunten behoorlijk extreem zijn. Ben benieuwd of er nog meer informatie gaat komen uit de lek.

Frame164 @bArAbAtsbB • 1 december 2022 19:24

Voor een politieke partij is dat best veel. Het is met voorsprong de grootste qua aantal leden.

TheDudez 1 december 2022 17:40

Je zou verwachten dat er standaard een audit wordt gedaan door een externe partij als er zulke vertrouwelijke gegevens in staan. Dit zou eigenlijk verplicht moeten zijn bij grote aantallen leden.

vitalityx0 @TheDudez • 1 december 2022 17:46

Een Audit? Waarvoor? Een audit vind niet zo maar plaats. Denk je dat er audits plaatsvinden bij Tweakers?
Iedereen kan zo maar iets opzetten, pas als je gebruik maakt van bepaalde standaarden zoals iso 27001 etc, komen ze langs om je verplichtingen te checken.

Jerie

@vitalityx0 • 1 december 2022 17:58

Een audit vind niet zo maar plaats. Denk je dat er audits plaatsvinden bij Tweakers?

Gezien men veel persoonsgegevens verwerkt: Ja.

En ISO 27001 stelt in de praktijk weinig voor.

Luuk2015 @Jerie • 1 december 2022 19:33

[...]
En ISO 27001 stelt in de praktijk weinig voor.

Waarom stelt dit niet veel voor?

carlpls @Luuk2015 • 1 december 2022 20:15

Omdat ISO 27001 voornamelijk een certificatie is om aan te tonen dat je *processen* rond 'informatiebeveiliging' op orde hebt. Binnen de kaders van ISO 27001 kan je bijna alles voor elkaar krijgen zolang je maar aantoont dat erover 'nagedacht' is, en daar papierwerk aan ten grondslag ligt. Het daadwerkelijke beleid bepaal je zelf met als enige kanttekening dat deze moet gedegen zijn voor de risico's die je zelf opstelt en zelf beoordeeld. ISO 27001 is dus niet direct een meetlat voor 'hoe veilig' een bedrijf is, maar slechts dat er een hoop papierwerk is wat beschrijft waarom ze bepaalde dingen wel/niet doen. Met andere woorden, een papierentijger.

Als er binnen een organisatie behoefte is aan het papiertje en je een of meerdere personen zo gek kan krijgen om documentjes te tikken en notulen te schrijven krijg je ontzettend veel voor elkaar. 'Hoe veilig' een ISO 27001 gecertificeerd bedrijf is hangt dus af van hoe serieus een organisatie het zelf neemt, en aangezien ISO 27001 een 'checkbox' is om te halen tegenwoordig valt dat denk ik vies tegen.

Dat gezegdhebbende zitten er natuurlijk wel mogelijke voordelen aan. Gedwongen worden na te denken over informatiebeveiliging is beter dan er helemaal niet over na hoeven denken, dus wat dat betreft is het een kleine stap vooruit. Maar als je denkt dat een ISO 27001 certificering bij een bedrijf betekent dat alles daar goed op orde is zit je er HEEL ver naast.

bwerg @carlpls • 2 december 2022 09:41

Binnen de kaders van ISO 27001 kan je bijna alles voor elkaar krijgen zolang je maar aantoont dat erover 'nagedacht' is, en daar papierwerk aan ten grondslag ligt.

Anders gesteld: het is misschien weinig werk als je je zaken toch al op orde had. Als de opzet van je bedrijf een puinhoop is betekent die certificering dat je eerst je bedrijf moet fixen, dat is natuurlijk niet weinig werk.

Cio @bwerg • 2 december 2022 10:12

Je hoeft in de praktijk niks te fixen, je moet alleen opschrijven hoe je zou werken in de ideale situatie.

bwerg @Cio • 2 december 2022 10:16

Als je er geen bezwaar tegen hebt dat je gewoon tegen een auditor staat te liegen, dan kan dat natuurlijk. Net zoals dat je belastingaangifte niet hoeft te kloppen, je moet hem slechts zodanig invullen dat je niet gepakt wordt. Ik ben wel benieuwd wat de gevolgen zijn als er daarna een datalek in het nieuws komt waaruit blijkt dat je je totaal niet aan die processen houdt.

Oh, en hopen dat de auditor niet steeksproefgewijs gaat controleren, natuurlijk.

Cio @bwerg • 2 december 2022 10:36

Niet net zoals je belastingaangifte. Het is ten eerste niet (direct) strafbaar en ten tweede certificeert de auditor vooral dat er een proces op papier staat bij ISO27001.

Bewijs dat het process echt wordt uitgevoerd kan je per stapje 'bewijzen' met een voorbeeld, voorbeelden hoeven niet uitdezelfde casus dus kan je cherry-picken. Uitvoering hoef je niet te controleren, dus je hoeft niet bang te zijn voor steekproeven.

ISO27001 is geen garantie dat bedrijfsprocessen inhoudelijk kloppen of taken volgens het proces worden uitgevoerd. Het is een vinkje dat je ergens een proces hebt opgeschreven.

batjes @carlpls • 2 december 2022 08:41

Ook doen veel bedrijven tijdens zo'n certificatie even beter hun best dan op een doorsnee werkdag. Want het is nooit onaangekondigd.

TheDudez @vitalityx0 • 1 december 2022 18:03

Ja als je met zeer vertrouwelijke gegevens omgaat. Tweakers.net heeft niet zeer vertrouwelijke gegevens. Elke week zijn er wel lekken. En de gebruikers zijn elke keer de dupe. En krijgen geen vergoeding. Dus ja het moet anders. Dit werkt zo niet.

FreshMaker @TheDudez • 1 december 2022 23:54

De (betalende) abonnees staan echter met volledige naam en adres + betalingsgegevens in de systemen.
Emailsadressen en misschien ook wel telefoonnummers.
Net zoals het in het nieuwsbericht gedaan is.

Het enige verschil is dat het een stuk minder 'bekende' personen zijn in de database

batjes @FreshMaker • 2 december 2022 08:43

Tweakers heeft die gegevens niet van mij. Niets in mijn profiel klopt en ik betaal via Ideal. De enige persoonsgegeven die ze hebben is mijn email adres, maar die heeft het hele internet toch al.

GeeBee @batjes • 3 december 2022 10:50

En je bankrekeningnummer als je via iDeal betaald?

lilmonkey

@vitalityx0 • 1 december 2022 18:36

TheDudez formuleert toch duidelijk een mening, 'zou moeten zijn'? Is dat nou echt zo ingewikkeld te begrijpen?

HenkEisDS @TheDudez • 1 december 2022 18:26

Heel goed punt. Vanaf een bepaald aantal leden zou je verplicht moeten worden security audits te ondergaan. En dat mag best op softwareleverancier niveau zijn als je standaard configuraties gebruikt. Maar als je custom dingen gaat ontwikkelen en de audit niet kunt betalen heb je geen bestaansrecht of imho.

SunnieNL

@HenkEisDS • 1 december 2022 19:35

En wat voor standaard audit gaan we dan vragen? Soc2 type 2? Pentest? Owasp vulnerability tests? Black box of white box tests?

Je kunt ook gewoon zeggen dat er ontwikkelt moet worden met security in mind. Dan was dit, in het geval van een goed proces, waarschijnlijk niet gebeurd.
Je kunt je in dit geval al afvragen of de api niet al te veel gegevens doorgeeft voor de app. Waarom geeft die api het rekeningnummer door en is dat nodig voor de werking van de app? Je kunt ook een deel van het rekeningnummer veranderen in een Asterix voor weergave in de app. Waarom staan er nog oude namen in met al die gegevens?

Dat zijn zaken die je er met een audit niet zomaar uit haalt.

HenkEisDS @SunnieNL • 1 december 2022 20:47

Interessante vraag. Gewoon een gesprek van X uur met iemand die getraind is in het beoordelen of iets veilig genoeg of broddelwerk is zou een goed begin zijn voor applicaties die meer dan Y persoonsgegevens verwerken.

n9iels

@TheDudez • 1 december 2022 18:59

Audits zijn leuk, maar die vinden niet regulier plaats. Elk kwartaal zou al heel veel zijn. Daarnaast is nog de vraag hoe goed zo’n audit is. De audits die ik persoonlijk heb meegemaakt bij een vorige werkgever gaven enkel een waslijst me wat missende CSP headers, totaal niet inhoudelijk dus. Allicht een worst case scenario, maar ik ben bang niet uitzonderlijk.

[Reactie gewijzigd door n9iels op 22 juli 2024 21:04]

TechSupreme @TheDudez • 2 december 2022 00:35

Het is ook semi verplicht, er zijn zware consequenties voor het niet in orde hebben van je zaken. Dat boetes zijn iig niet mals. Het is aan jezelf om te bepalen hoe je je zaken op orde gaat krijgen. Een wettelijk plicht is daarbij alleen maar een belemmering op de vooruitgang. Als je zou zeggen dat de consequenties zwaarder moeten zijn kan ik je nog wel begrijpen, maar wettelijk verplichten om bepaalde stappen te ondernemen is alleen maar een belemmering.

Aidix 1 december 2022 17:46

Lekker dan. Daar staan dus veel mensen in een lijst van "FVD leden" die mogelijk al lang vertrokken waren voordat de partij ideologisch uit de bocht vloog. Je zal maar een werkgever hebben die sollicitanten gaat screenen op 'FVD wappies' o.i.d.

Maar wel handig, heb je meteen het telefoonnummer van je "FVDating match"

[Reactie gewijzigd door Aidix op 22 juli 2024 21:04]

Jerie

@Aidix • 1 december 2022 17:55

Niet iedereen die ooit lid is geweest van FvD is een wappie. Die conclusie kun je niet trekken. Daarnaast mag een werkgever niet discrimineren op basis van politieke voorkeur. En tenslotte weet je niet waarom iemand lid is. Lid zijn houdt niet in unaniem voor alle standpunten.

Calypso @Jerie • 1 december 2022 19:22

Nee, je mag niet op basis van politieke voorkeur of geloofsovertuiging iemand afwijzen. Dat zegt de wet.

Nu de praktijk (uit eerste hand: ik was degene die de eerste beoordeling van de kandidaten deed): voor een beheersfunctie, waarbij 24/7 standby dienst draaien tot de taak behoorde, kreeg ik de CV van iemand die op zich geschikt leek. Wat googlen op de naam bleek dat dezelfde persoon echter erg actief was op Christelijke fora, waarbij hij fel gekant was tegen het werken op zondag.

Dan mag je weliswaar niet discrimineren op basis van geloof, maar het is niet in het belang van en werkgever en werknemer om een relatie aan te gaan lijkt me.

theobril @Calypso • 1 december 2022 20:36

Zekere functies mogen ook in de Christlijke hoek op zondag uitgevoerd worden. Of dacht je dat ze op zondag niet werkten in protestantse verzorgingstehuizen? Zo zal als ICT's op zondag bij een nutsvoorziening (beveiliging kerncentrale) waarschijnlijk ook wel mogen. Het siert je in mijn beleving dan ook niet betreffende sollicitant zo makkelijk af te serveren. Naast dat je dus religie niet mag laten meewegen bij een sollicitant, maar dat wist je al.

Calypso @theobril • 1 december 2022 21:02

De uitingen van betreffende sollicitant waren dusdanig dat de kans dat deze oprecht akkoord zou gaan met werken op zondag naar mijn inschatting (en naar de inschatting van PZ met wie ik het overlegd heb) nihil waren. Geloof me maar, die uitingen waren niet mals.

Maar goed, er waren in die situatie een stuk of 20 kandidaten voor 1 functie, en dan moet je ergens op selecteren.

Me erop aankijken mag best, maar doe dat dan ook met eenieder die 31 rijdt in een woonwijk

theobril @Calypso • 1 december 2022 21:06

Nodig iemand uit, en als eerste vraag in het gesprek: "hoe sta je tegenover werken op zondag?" lijkt mij dan een elegantere methode dan afgaan op je Sherloc-activiteiten. De 31 km/uur snap ik in dezen niet helemaal, dat zal aan mij liggen.

Calypso @theobril • 2 december 2022 07:22

Ja, dat ligt aan jou. Met 31 km/uur wordt de wet ook overtreden, en je weet dat dat doet. Iedereen kan zich wel gaan verhullen in correctheid, maar er is volgens mij niemand die nog nooit te hard heeft gereden.

Zo ook hiermee. Als je een veelheid van kandidaten hebt (dat gebeurde in die tijd nog) en je moet ergens op selecteren, dan wil je niet het risico lopen een potentieel goede kandidaat niet uit te nodigen wanneer je bij vraag 1 in het gesprek al een groter-dan-gemiddeld risico loopt de conclusie te moeten trekken dat de wel aanwezige kandidaat ongeschikt is. Dan neem ik liever het risico op protest van een niet uitgenodigde persoon, want die kans is een stuk kleiner. Het is overigens heel wat anders wanneer die persoon al verder in het traject geweest was. We hebben het hier over een eerste schifting, en dan wijs je ook nog mensen af met te weinig werkervaring e.d.

Maar goed, gezien de reacties hier vindt men het hier not done - mogelijk omdat ze nog nooit in dezelfde situatie hebben gezeten om dit soort keuzes te moeten maken, of omdat ze ver weg van de gelovige gebieden wonen (bij deze werkgever grensden we aan enkele zeer gelovige gemeenten). Wat hier ook gesuggereerd wordt dat gelovigen ook best op zondag mogen werken: ja, dat klopt. Maar ik heb ook meegemaakt dat leidinggevenden van een klant weigerden op zondag de telefoon aan te nemen (terwijl ze wisten dat er een urgentie was) en dat ook schriftelijk bevestigden dat dit gebeurde uit geloofsovertuiging.

Afijn, we wijken af van het originele onderwerp.

_Pussycat_ @theobril • 2 december 2022 15:03

Ik neem aan dat je nog niet sollicitaties hebt moeten verwerken? Als je deze persoon uinodigt volgens jouw principe, moet je ook eventjes de andere 20 man uitnodigen om eventjes overal over te proten. Dan ben je dus 2 maanden bezig, waarna je lievelingskandidaat allang weg is.

Trouwens was bij mij altijd het probleem überhaupt een passende kandidaat te vinden; de boven beschreven luxe heb ik nooit gehad.

Tc99m @Calypso • 1 december 2022 20:50

En heb je het die sollicitant ook direct gevraagd of hij bereid was bereikbaar te zijn op zondag (dat kan ook prima zonder naar zijn geloofsovertuiging te vragen)?

Als je dat niet hebt gedaan, en hem puur op basis van zijn activiteit op een christelijk forum hebt afgewezen, dan heb je dus de wet overtreden. Als je dat wel hebt gevraagd, en hij niet bereid was geweest oproepbaar te zijn, had je hem (legaal) af kunnen wijzen omdat hij niet aan een van de functievereisten voldeed.

Los van dat het ook voor christenen die zich streng aan de zondagsrust houden is toegestaan om toch op zondag te werken als dat noodzakelijk is, was het bij voorbaat oordelen op basis van zijn religie dus helemaal niet nodig geweest.

Amanoo @Jerie • 1 december 2022 22:15

Als ze geen wappies zijn, hebben ze wel behoorlijk veel wappiegedrag van de partij genegeerd. FvD leurt al sinds zijn oprichting met complottheorieën die ruimt binnen het domein van de wappies vallen. Complottheorieën zoals bijvoorbeeld cultuurbolsjevisme. Of zoals het tegenwoordig heet, cultuurmarxisme. Dat zijn termen die nogal van de foute kant afkomstig zijn.

Hoboist @Amanoo • 2 december 2022 00:38

Er staan veel EX-leden in de lijst. Het punt dat gemaakt wordt is terecht: stel dat je een verfrissende partij toejuicht en lid wordt, al snel kom je erachter dat ze wappie zijn en je schrijft je weer uit. Vervolgens sta jij wel te boek als wappie doordat je in die lijst gevonden kan worden.

Waarnemer @Hoboist • 2 december 2022 09:29

Heel veel hebben zich niet actief uitgeschreven.. ze staan op de lijst "niet betaald". De "passieve" "uitschrijvers" dus. Als ik maar lang genoeg niet betaal, schrijven ze me vanzelf uit.
Maar ook de slapende leden, zij die zich er niet eens bewust van zijn nog lid te zijn omdat ze zich allang niet meer interesseren in de partij.

Voorbeeld:
Onze tennisvereniging ging actief op zoek naar slapende leden. Of ze nog wel lid wilden zijn. Die schreven zich uit. Ging de vereniging bijna failliet; minder geld van leden, minder subsidie vanwege minder leden.
Conclusie: Slapende leden... laat ze slapen... zo zal de FvD ook redeneren.

Het was leuker geweest als RTL een dump had genomen van nu en dan nog een van volgend jaar..
mooi vergelijk om te kijken wie er dan nog hadden betaald. Mooi vergelijk.
Hoewel "herinnering" door RTL aan oud leden dat ze mogelijk nog in de database van FvD staan helpt wellicht ook wel. Ze zullen zich nu wél actief willen uitschrijven.

Vorkie @Jerie • 1 december 2022 18:00

“Sorry wij hebben een geschiktere kandidaat voor de functie gevonden”

plakbandrol @Jerie • 1 december 2022 18:02

Correct, in het begin was de partij alleen bekend vanwege het organiseren van een referendum, mensen die toen lid geworden zijn hoeven geen enkel ander standpunt van de partij te delen.

Polydeukes @Jerie • 1 december 2022 18:19

Daarnaast mag een werkgever niet discrimineren op basis van politieke voorkeur.

Dat 't niet mag, betekent niet dat 't niet gebeurt. Het is namelijk erg lastig te bewijzen waarom je werkelijk afgewezen wordt.

RoestVrijStaal @Jerie • 1 december 2022 19:02

Daarnaast mag een werkgever niet discrimineren op basis van politieke voorkeur.

Een uitzondering daargelaten, geven werkgevers nooit de echte reden(en) voor de afwijzing van sollicitaties prijs.

ctrl-tab @Aidix • 1 december 2022 18:27

Wil je uberhaupt bij zo'n werkgever werken?
Lijkt me niet gezond als er aan de voordeur al geselecteerd wordt op totaal irrelevante persoonlijke details?

rrs2 @ctrl-tab • 1 december 2022 18:44

Tja, de personen die de selectie doen hebben niet per se veel invloed op je dagelijkse bezigheden. Dus ja, bij "zo'n werkgever", zou ik best kunnen werken als het probleem niet systematisch is.

Frame164 @ctrl-tab • 1 december 2022 19:19

Ik zou er moeite mee hebben als mijn werkgever racisten zou aannemen.

theobril @Frame164 • 1 december 2022 20:39

Ik zou er moeite mee hebben als sollicitanten al mijn huidige medewerkers de maat namen over al dan niet vermeend racisme. Maar ik vertrouw er op dat u ergens in uw cv verwerkt "ik werk niet bij een organisatie waar racisten werken". Of nog beter: voor het solliciteren alvast een belletje doen met de vraag "werken er racisten in uw organisatie". als men dan niet zwart op wit kan aangeven dat dat niet het geval is, geeneens solliciteren. Of dit taakje aan door de headhunter laten uitvoeren die je heeft opgesnord. Succes.

PurifieR1980 @Frame164 • 2 december 2022 16:26

FVD-Lid zijn maakt je geen racist.

PurifieR1980 @Aidix • 1 december 2022 19:00

Dan krijgt zo'n werkgever meteen een aangifte aan de broek

Hoboist @PurifieR1980 • 2 december 2022 00:39

Als het uitlekt/bekend wordt wel ja.

Neut72 @Aidix • 1 december 2022 20:22

Ik zou het eerder om willen keren.

Als ik erachter zou komen dat mijn werkgever deze wappies ooit heeft gesponsord zou ik meteen m'n ontslag indienen.

Dergelijk goor tuig wil je niet voor werken.

Amanoo @Aidix • 1 december 2022 22:09

Is er ooit een tijd geweest dat de partij niet uit de bocht was gevlogen? Ze geloofden al heel lang geleden in antisemitische complottheorieën zoals cultuur_^bolsjevismemarxisme.

JurGor @Aidix • 5 december 2022 13:54

Baudet liep in 2016 al nepnieuws uit het Kremlin te twitteren.

Wie op welk moment dan ooit lid is geweest van FvD is fout. Net zo fout als NSB-ers. Landverraders zijn het.

Sorcerer8472 1 december 2022 17:41

Het klinkt alsof dit gapende lek van zodanige aard is dat AP niet anders kan dan hier een boete voor uitschrijven.

Een endpoint publiek beschikbaar stellen waar je ongeveer ieder lid uit kunt queryen is bijna het schoolvoorbeeld van hoe het niet moet

PolarBear @Sorcerer8472 • 1 december 2022 17:47

Tja dit is echt het niveau SQL injection. Ik vind het eigenlijk onterecht om over een datalek te praten, dit is gewoon een programmeerblunder. En bijna gewoon opzettelijk open zetten van je database.

MiesvanderLippe @PolarBear • 1 december 2022 17:58

Dit heet een enumeration vulnerability en is geen injectie. Er wordt mogelijk wel gecontroleerd of je ingelogd bent, maar niet of je ook toegang hebt tot de gegevens die je opvraagt. Denk aan /gebruiker/1, en /gebruiker/2

PolarBear @MiesvanderLippe • 1 december 2022 18:12

Dit heet een enumeration vulnerability en is geen injectie

Dat zeg ik ook niet. Het niveau van de vulnerability is hetzelfde. Namelijk een basis ding wat makkelijk te voorkomen is, makkelijk te vinden is én ontzettend bekend.

Kaasrol @PolarBear • 1 december 2022 20:39

Ik vind dit nog een paar niveaus onder enige vorm van injecties zitten. Puur amateurisme.

Amanoo @Kaasrol • 1 december 2022 22:18

Voor injectie moet je enigszins weten wat je doet. Iedere kneus die een beetje SQL kan, kan dat dus ook wel, maar je moet nog tenminste iets weten.

Een fout als deze kan een baviaan met een toetsenbord nog bijna ontdekken.

Anoniem: 1582350 @Amanoo • 1 december 2022 22:30

Weten wat je doet / kneus / iets weten....wat is het nu?

Baviaan / toetsenbord / bijna... dus niet.

PalingDrone @PolarBear • 1 december 2022 18:21

Opzettelijk is zelfs ook geen hele vreemde gedachte.
Lijkt me niet de lastigste organisatie om te infiltreren en ze op deze manier in een bepaald daglicht te zetten.
Hoe dan ook, of het nou laksheid, onkunde, haast of een opzetje is er lopen vanaf vandaag een kleine 100k personen rond die in het ernstigste geval een enorme berg ellende over zich heen kunnen krijgen.
Extra vervelend voor diegenen die zich al lang geleden gedistantieerd hebben van deze partij.

Steenvoorde @PalingDrone • 1 december 2022 20:43

Extra illegaal ook. Je mag volgens de AVG helemaal niet zolang gegevens bewaren van mensen die geen respondent meer zijn. Ik weet de details niet uit mijn hoofd, maar dit zou nog eens een financiële strop voor FvD kunnen worden.

PalingDrone @Steenvoorde • 1 december 2022 22:01

Daar was volgens mij al eerder heibel over, voormalig leden die toch meetelden in het totaal.
Mensen van wie de contributie ten onrechte afgeschreven werd, iets dergelijks staat mij bij van 1 a 2 jaar geleden.
Blijkbaar geen tijd gehad om de database bij te werken, ze waren nogal druk met "koffiedrinken" op pleintjes en campagnevoeren in die tijd, dan schiet er wel eens wat bij in....

Anoniem: 1582350 @PalingDrone • 1 december 2022 22:22

Dat zouden meer politici moeten doen, onder de mensen zijn bedoel ik.

FreshMaker @Anoniem: 1582350 • 1 december 2022 23:57

Dat zouden meer politici moeten doen, onder de mensen zijn bedoel ik.

Er moet ook gewerkt worden hé ...
Netwerken is ook werken ...

Anoniem: 1582350 @FreshMaker • 2 december 2022 00:56

Netwerken is juist funest voor de intregiteit. Ga buiten de paden, onder de stolp vandaan etc.

SunnieNL

@PolarBear • 1 december 2022 19:43

Hoe je de data eruit trekt maakt niet uit. Het resultaat blijft een datalek.

De api zou dit niet moeten toestaan.
Daarnaast geeft de api wat mij betreft te veel data af. Waarom geeft die het rekeningnummer van iemand terug? Heeft de app dat nodig? Lijkt mij niet. Als je het rekeningnummer al wilt laten zien kan dat ook door alleen de laatste 3 getallen te laten zien.
Daaruit blijkt eigenlijk dat zowel bij de app als de api er niet gewerkt is met security in gedachten in het begin van het ontwikkelproces en de rest van de stappen.

dasiro @SunnieNL • 1 december 2022 20:44

een lek is als er effectief data onterecht naar buiten is gegaan, dat wil nog niet zeggen dat de toegang ook effectief misbruikt is. Als ze bij RTL verantwoord om gaan met de info die ze ontdekt hebben en anderen voor waren zijn er maar een beperkt aantal mensen geïmpacteerd tenzij ze effectief alles hebben binnen gehaald wat er te vinden was, maar dan zijn ze hun journalistieke vrijheid te buiten gegaan ("hé de deur van je kluis staat open en ik heb 20€ weggenomen om te zien of het alarm af ging" vs "hé ik kon zomaar alles uit je kluis weghalen zonder dat het alarm is afgegaan").

Jerie

@PolarBear • 1 december 2022 17:57

Semantische discussie. Programmeerblunders hebben tot gevolg kwetsbaarheden die tot gevolg hebben datalekken.

quannah 1 december 2022 17:42

Blijkbaar heeft degene die dit lek heeft ontdekt dus niet alleen een paar nummers geprobeerd om het lek te bevestigen en kunnen melden, maar vervolgens ook *alle* data opgevraagd en gedownload. Dat is wel het verschil tussen een kwetsbaarheid ontdekken en een kwetsbaarheid exploiteren, wat doorgaans strafbaar is (ik weet niet of dat in Nederland wettelijk ook zo is geregeld).

PolarBear @quannah • 1 december 2022 17:49

Aan de andere kant is dit zo een basaal lek (nummertjes wijzigen is echt een jaren 90 vulnerability) dat de schult echt 100% bij de app bouwer en het FvD ligt imho.

quannah @PolarBear • 1 december 2022 18:08

Absoluut, dit is een onacceptabele fout. Maar alle gegevens downloaden is dan nog steeds het exploiteren van de kwetsbaarheid.

PhilipsFan @quannah • 1 december 2022 18:23

Hoezo? Zoals ik het begrijp is er sprake van een opnummering in de url. Als ik het nummer in een url ophoog, dan doe ik toch niks anders dan een url opvragen? Wat is daar exploiteren aan? Misschien heb ik wel een typfout gemaakt bij het overtypen van het url. Misschien wist ik het nummer niet meer en heb ik ze allemaal geprobeerd tot ik de juiste vond. Dit is niet exploiteren, maar gewoon openbare url's opvragen.

anboni @PhilipsFan • 1 december 2022 19:21

Misschien heb ik wel een typfout gemaakt bij het overtypen van het url.

Ja, me neus. Je snapt zelf toch hopelijk ook wel dat de geloofwaardigheid van die stelling na 'n poging of drie tot het absolute nulpunt is gedaald?

PhilipsFan @anboni • 1 december 2022 23:25

Waarvoor moet ik geloofwaardig zijn dan? Ik vraag openbare url's op. Ik kijk niet naar wat ik terugkrijg, maar sla het ergens op om later te analyseren. Welke wet overtreed ik?

moredruid @quannah • 2 december 2022 11:04

Hoe wil je anders nagaan hoe groot het probleem is? Staat een subset open (zeg de 1e 300 of alleen achternamen met een b) of staat alles open? Dit is voor de slachtoffers (en AVG) wel van belang.

De journalistiek moet met de juiste feiten komen. Anders krijg je berichten als: er is een gebruikerslijst gevonden maar we weten niet hoe groot of wie er allemaal in staat. De eerste vraag die iedereen stelt is dan of zij er nu wel of niet in staan. Dus het is in het belang van het onderzoek om zo ver mogelijk te na te gaan hoeveel mensen geraakt zijn zonder misbruik te maken van de data.

bamboe @quannah • 1 december 2022 17:46

Het zullen wel de reptiellen geweest zijn die ons proberen te besturen om de enige partij die hun door heeft zwart te maken.....

(even ruimte houden voor de edit als iemand me gelooft...)

Towerofpower @bamboe • 1 december 2022 17:51

Die dieren kunnen ook overal doorheen kruipen dus eigenlijk wel logisch.

Jol65 1 december 2022 19:00

Politieke voorkeur is een 'bijzonder persoonsgegeven' waarvan de 'verwerking' meestal verboden is. Dit gaat nog een staartje krijgen.
Bron: Autoriteit persoonsgegevens

Frame164 @Jol65 • 1 december 2022 19:26

In dit geval mag het uiteraard gewoon verwerkt worden. Het heeft immers een doel. Hoogstens het feit dat er nog exleden in staan is in strijd met de wet.

lDDQD @Frame164 • 1 december 2022 22:06

Hoogstens het feit dat er nog exleden in staan is in strijd met de wet.

Niet per se. Kan zijn dat die ex-leden expliciete toestemming hebben gegeven voor de verwerking van hun gegevens. Dat is een van de grondslagen in de AVG. Die kunnen ze natuurlijk ook weer intrekken. Denk niet dat dat hier het geval is, maar zo zwart/wit is je bewering niet.

Brambo1233 1 december 2022 17:57

Vreselijk voor de leden en oud-leden dat hun gegevens mogelijk openbaar kunnen worden gemaakt. Politieke voorkeur van individuele mensen is iets wat nimmer openbaar gemaakt mag worden. Lees nu al meest vreselijke dingen in de comment sectie als; "filteren op wappies".

mrbullet @Brambo1233 • 1 december 2022 18:08

Welnee, zelf hadden ze geen problemen om andere mensen thuis/prive lastig te vallen. En prive gegevens te publiceren. Nu weten we wie de riool politici mogelijk maken.

Iets met boontje en loontje.

Brambo1233 @mrbullet • 1 december 2022 18:22

Wat een kortzichtige reactie. Allereerst je hoeft als je op een partij stemt en of lid bent van een partij het niet met alles eens te zijn met waar de partij voor staat en of wat ze doen. Ten tweede het gaat ook om oud-leden. Niet lang geleden was de FVD de grootste partij van Nederland (provinciale staten verkiezingen en ledenaantal). Tot slot hoe weet je dat leden en of oud leden er geen problemen mee hadden dat bijvoorbeeld politici werden geïntimideerd?

Oog om oog, tand om tand. Hopelijk gebruik je ooit je verstand.

[Reactie gewijzigd door Brambo1233 op 22 juli 2024 21:04]

HooksForFeet @Brambo1233 • 1 december 2022 19:17

De grootste partij in stemmen is iets anders dan de grootste qua ledenaantal hé.

Daarnaast waren ze bij mijn weten wel de grote winnaar (extreem veel zetels uit het niets) maar niet per se de grootste partij qua aantal stemmen.

Brambo1233 @HooksForFeet • 1 december 2022 20:09

Forum voor Democratie heeft bij de Provinciale Statenverkiezingen in 2019 de meeste stemmen gekregen. De FVD was voor een korte periode de grootste partij van Nederland qua stemmen en ledenaantal. De provinciale staten verkiezingen hebben in het algemeen een relatief lage opkomst tov tweede kamerverkiezingen, maar nog steeds kan je spreken dat ze tijdelijk het grootst waren.

Tc99m @HooksForFeet • 1 december 2022 20:15

Bij de Provinciale Statenverkiezing in 2019 was FvD in zetelaantal wel degelijk de grootste partij, en daardoor ook in de Eerste Kamer de grootste fractie (inmiddels niet meer, omdat meer dan 60 van de 86 Statenleden zich hebben afgesplitst, en ook in de Eerste Kamer een aantal leden zich bij JA21 of Groep Otten hebben aangesloten).

[Reactie gewijzigd door Tc99m op 22 juli 2024 21:04]

Retrospect @mrbullet • 1 december 2022 18:21

Alle 92.000 (oud-)leden hadden daar geen probleem mee? Dat lijkt mij bijzonder sterk. Ik denk zelfs dat er leden zijn vertrokken om dit gedrag. Maar ik zie graag je onderbouwing tegemoet.

Anoniem: 1582350 @mrbullet • 1 december 2022 19:48

Ja, die man met de fakkel bij Kaag dat vind ik echt niet kunnen. SCHANDE!

234FaTaLiTy @Anoniem: 1582350 • 1 december 2022 23:12

Het grappige daarvan is nog dat die rare fakkel gast geen FVD’er was. Ik meen dat ie zich voorheen inzette voor een andere partij, weet niet precies welke maar een christelijke.

PhilipsFan @mrbullet • 1 december 2022 18:27

Jaja. Want ALLE FVD'ers in die database waren daar schuldig aan. Zie je hoe makkelijk het is om in bepaalde patronen te denken? Je doet het nu zelf ook. Enkele FVD'ers doen iets wat niet mag -> De FVD wordt geassocieerd met corrupte politici -> ALLE FVD'ers zijn corrupte politici...

Precies de reden dat deze datalekken zo ernstig zijn. Bedrijven en instanties gaan hier nog lang niet zorgvuldig genoeg mee om.

Frame164 @Brambo1233 • 1 december 2022 19:22

Mensen die actief worden in de politiek vinden het toch helemal niet erg dat hun voorkeur duidelijk wordt? De leden zijn de mensen die folders gaan uitdelen, posters voor hun raam hangen e.d.

Brambo1233 @Frame164 • 1 december 2022 20:11

Hoeft niet zo te zijn

Mensen die actief worden in de politiek vinden het toch helemal niet erg dat hun voorkeur duidelijk wordt? De leden zijn de mensen die folders gaan uitdelen, posters voor hun raam hangen e.d.

Lid worden betekent niet automatisch actief zijn in de politiek. Leden hoeven niet eens voor een partij te zijn. Zo kan je in Nederland lid worden van meerdere politieke partijen tegelijkertijd. Je hebt zoals bij elke vereniging, partij of wat dan ook actieve en passieve leden.

Sloeber @Frame164 • 2 december 2022 09:56

"Jezelf doxxen" door flyers uit te delen, of al je gegevens in een handige database, digitaal opgeslagen voor 16 miljoen mensen in te zien is wel een verschil.
Stel dat er 100 mensen in NL zijn, die zo tegen FVD zijn, dat ze bereid zijn er iets ergs tegen te doen. De kans dat jij zo iemand aanspreekt, tegen de kans dat zo'n iemand deze database in kan zien is natuurlijk niet te vergelijken.

Cid Highwind @Brambo1233 • 1 december 2022 18:32

Dan is de app in ieder geval in z'n doelstelling geslaagd: Een platform bieden voor discirimatie op grond van politieke voorkeur.

JurGor @Brambo1233 • 5 december 2022 13:56

Filteren op racisten, fascisten, antisemieten.

Wappies kwamen pas later.

PalingDrone 1 december 2022 17:39

Ook fraai dat ze die oud-leden, waar al eerder commotie over was ontstaan, nog steeds niet uit de database gekieperd hebben.
Die zullen nu wel extra blij zijn met zo'n "up-to-date" bestand... /s

3raser @PalingDrone • 2 december 2022 08:34

Als dit echt tegen de regels is (wat het wel lijkt) dan hoop ik dat ze aangifte doen om zo een precedent te scheppen. Het is natuurlijk belachelijk dat je gegevens zo lang worden bewaard worden zonder dat je nog bij die club betrokken bent. En dit geldt overigens voor iedere instelling die persoonsgegevens bewaard. Maar bij een politieke partij mag het van mij net even harder worden gestraft.

Op dit item kan niet meer gereageerd worden.

Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen door datalek

Lees meer

IT-banen

Reacties (312)

Sorteer op:

Weergave: