Internationale Tafeltennisbond had bijna drie jaar lang datalek

De International Table Tennis Federation had bijna drie jaar lang paspoorten en vaccinatiebewijzen van prominente tafeltennisspelers en betrokken stafleden onbeveiligd online staan. Dat meldt RTL Nieuws.

In totaal zou het gaan om meer dan 1000 kopieën van documenten over 'honderden' spelers en stafleden. Onder hen vallen ook de Nederlandse professionals Britt Eerland en Shuohan Men. Ook zijn twee Nederlandse bondscoaches hierdoor getroffen, evenals Japanse en Chinese wereldtopspelers.

RTL Nieuws meldt het nieuws op basis van e-mailverkeer dat het heeft ingezien. Wie de melding bij de tafeltennisbond heeft gedaan, is niet bekend. RTL zegt de bond de gelegenheid gegeven te hebben om het lek voor publicatie van het nieuws te dichten. Daar heeft de in Zwitserland gevestigde organisatie gehoor aan gegeven en het datalek is nu dus gedicht.

Reacties (52)

Polderviking

12 december 2022 16:40

Wat moet een tafeltennisbond met paspoorten en vaccinatiebewijzen?

wildhagen

Datalek
Networking en security

@Polderviking • 12 december 2022 16:45

Wat moet een tafeltennisbond met paspoorten en vaccinatiebewijzen?

Wellicht als hun spelers willen reizen naar een door de bond georganiseerd evenement, dat de bond dan de tickets etc boekt?

Dan heb je wel de paspoort-gegevens nodig, en tijdens de coronaperiode ook vaccinatiebewijzen omdat veel landen deze info als eis stelden voor toegang.

Polderviking

@wildhagen • 12 december 2022 16:57

Die info moet je als reiziger uiteindelijk toch vooral zelf overhandigen op de grens?

wildhagen

Datalek
Networking en security

@Polderviking • 12 december 2022 16:58

Die info moet je als reiziger toch vooral zelf overhandigen op de grens?

Uiteraard. Maar als zaken als hotelreservingen, visa-aanvragen etc door de bond worden uitgevoerd, hebben (of hadden, voor die vaccinatiebewijzen) zij die gegevens dus ook nodig om dat te kunnen uitvoeren.

En dat zou dus een reden kunnen zijn om die gegevens in hun database op te nemen.

david-v

@wildhagen • 12 december 2022 17:28

Dat is inderdaad het geval. Bij veel federaties waarbij sporters of arbitrage naar het buitenland gaat wordt dat centraal geregeld. Vaak hebben ze alleen een paspoortnummer nodig bijvoorbeeld, maar het is voor veel federaties makkelijker om dan maar een kopie van je hele paspoort te vragen. Niet heel erg slim wat betreft AVG, en al helemaal niet als je dit soort berichten leest.

Het blijft nog steeds een probleem met dat kopie van je paspoort, overal willen ze die hebben terwijl als je doorvraagt ze dat helemaal niet nodig hebben en ze vaak dat niet eens mogen vragen.

Sannr2 @david-v • 12 december 2022 22:05

AVG is niet van toepassing, aangezien het buiten de Europese Unie is.

StefanJanssen @Sannr2 • 12 december 2022 22:39

AVG is van toepassing op Europese burgers en mensen die in de EU wonen. Handhaving is een stuk moeilijker als een organisatie buiten de EU gevestigd is, maar als ze binnen de EU opereren kan het gewoon aangepakt worden.

david-v

@Sannr2 • 12 december 2022 22:38

Hoezo niet? Het gaat hier ook om Nederlandse sporters, stafleden enz. Daar heb je je als instelling buiten de EU nog steeds de verplichting om je aan de AVG te houden.

Argantonis @david-v • 13 december 2022 08:33

Nee hoor, een land kan geen wetten maken voor andere landen, daar moeten ze bewust mee akkoord gaan.

Zou een beetje raar zijn als Saudie-Arabië zegt dat wij homoseksuelen stokslagen moeten geven niet? Zelfs als die mensen Arabieren zijn.

jpsch @Argantonis • 13 december 2022 12:29

Geen wetten, wel boycots.

david-v

@Argantonis • 13 december 2022 15:53

Als jij de gegevens van EU personen verwerkt, dan dien je je aan de AVG te houden, anders mag je die gegevens niet verwerken. Dus ja, dat kan zeker wel en is heel normaal, ook in de handel. Je dient je aan de regels van het land/EU te houden als je handel drijft met dat land/EU of zijn inwoners.

This is why the transfer of personal data to non-EU countries is tightly regulated.

bron

[Reactie gewijzigd door david-v op 22 juli 2024 23:12]

Argantonis @david-v • 13 december 2022 18:47

Dat gaat over data naar buiten de EU brengen. Misschien heb ik je oorspronkelijke ‘instelling buiten de EU’ dan verkeerd begrepen. Een hotel in pak ‘m beet Indonesië gaat niet opeens in de problemen komen als zij een kopie maken van je paspoort. Maar een bedrijf dat ook in de EU zit, ja daar kunnen ze wel wat mee ja. Helaas hebben andere landen ook weer hun wetten, en als die zeggen dat er een kopie paspoort meegeleverd moet zijn bij een boeking dan heb je alsnog de keuze of je dat dan toch maar aanlevert of niet.

Sannr2 @david-v • 13 december 2022 08:15

Volgens welke wet dan? Ze vallen enkel onder de Zwitserse wet. Daar is wel een vergelijkbare wetgeving, voldoende zelfs voor de AVG om vergelijkbaar genoemd te worden, maar het blijft buiten de AVG vallen. De AVG verplichting is per land in de nationale wetgeving vastgelegd.

david-v

@Sannr2 • 13 december 2022 16:00

nogmaals, als je gegevens van EU burgers verwerkt moet je aan de regelgeving van de EU voldoen. Het zou wat zijn als dat niet het geval is, kan tik-tok en social media consorten helemaal los gaan met onze data

Sannr2 @david-v • 13 december 2022 23:12

Het Europese hoofdkantoor van TikTok ligt in Ierland, daarom moeten die zich houden aan de GDPR, dat is binnen Europa. Geldt voor de meeste social media dat ze wel ergens in Europa een hoofdkantoor hebben waar de Europeanen onder vallen.

Jukebox @Sannr2 • 13 december 2022 11:34

Zo eenvoudig ligt dat niet: https://www.termsfeed.com..._Relationship_With_The_Eu

Sannr2 @Jukebox • 13 december 2022 23:14

Hoe bedoel je? Het valt buiten de EU, dus geen AVG. Ze hebben hun eigen variant.

CopyCatz @Polderviking • 12 december 2022 16:50

Het is een heel gepingpong als je bij iedere internationale wedstrijd weer die gegevens moet opvragen.

Polderviking

@CopyCatz • 12 december 2022 16:56

Volgens mij is dat wel precies de bedoeling... en die data moet dan nadat dat nut is gediend dus ook gewoon in de shredder.

Mathijs22 @Polderviking • 12 december 2022 17:17

Volgens mij is dat wel precies de bedoeling... en die data moet dan nadat dat nut is gediend dus ook gewoon in de shredder.

Nee, dat staat niet zo in de wetgeving van Zwitzerland (net zoals in die van Nederland). Als je het belang kan aantonen mag je die gegevens bewaren.

Polderviking

@Mathijs22 • 12 december 2022 17:35

Ja zo ken ik hem dus ook, maar 't lijkt me dat belang dan wel wat daadwerkelijk gewicht moet hebben.
Vraag me toch af "handig voor de volgende keer" de spreekwoordelijke reuktest doorstaat.

En dan nog, heb je voor dingen als vluchten boeken kopie van hele legitimatie nodig? Ik tot dusver alleen documentnummer als ik bijvoorbeeld mijn wederhelft meeboek.

[Reactie gewijzigd door Polderviking op 22 juli 2024 23:12]

Groningerkoek @Polderviking • 13 december 2022 01:32

De ITTF regelt ook Visa, zo heb je vanuit 103 landen een visum nodig om in Nederland aan een toernooi mee te mogen doen en dan zijn wij nog een gemakkelijk land.

P_Tingen @CopyCatz • 13 december 2022 08:17

Ja het is lastig om op tijd alles boven tafel te krijgen
(ok, ik ga al)

[Reactie gewijzigd door P_Tingen op 22 juli 2024 23:12]

m2011 @P_Tingen • 13 december 2022 23:03

Dit was inderdaad niet netjes. (OK ik ga ook maar naar betje)

rneeft

@Polderviking • 12 december 2022 16:42

Ik had hier een mooie verklaring voor maar tijdens het typen kan ik me inderdaad geen grondslag bedenken voor de verzameling van deze persoonsgegevens. Wellicht is het handigere om reizen te boeken (icm corona)??

Frame164 @rneeft • 12 december 2022 17:13

Er zijn ook veel ander vaccinaties die van belang zijn. Hepatitus en zo. die waren altijd al nodig.

Sannr2 @rneeft • 12 december 2022 22:06

AVG grondslagen zijn niet van belang, aangezien ze buiten de Europese Unie zitten.

rneeft

@Sannr2 • 12 december 2022 22:41

Volgens mij zijn het gegevens van onder andere europeanen en dus vallen die gegevens onder de GDPR (AVG). En al als ik het me het goed herinner, doet Zwitserland mee met iets gelijks aan GDPR.

Groningerkoek @rneeft • 13 december 2022 01:37

Zwitserland is een zogenoemde "Secure 3rd country GDPR" wat erop neerkomt dat eenzelfde mate van beveiliging via de wet wordt bewerkstelligt en transfer van gegevens van GDPR landen naar Zwitserland is uitdrukkelijk toegestaan.

Sannr2 @rneeft • 13 december 2022 08:05

Die gegevens vallen er onder als je er in binnen een EU land iets mee doet. Als jij op vakantie gaat naar een land buiten de EU, dan gelden de wetten daar.

Wel kan je als bedrijf in Nederland zaken doen met een bedrijf buiten de EU bijvoorbeeld voor opslag van je data die persoonsgegevens bevat, dan zijn er regels in de AVG hoe jij als Nederlands bedrijf moet zorgen dat het buitenlandse bedrijf ook voldoende veiligheid biedt. Maar daar is hier geen sprake van, het is een niet EU organisatie en valt dus onder de Zwitserse wet en de Zwitserse variant van de AVG. Net zoals je ook als persoon een bestelling kan doen bij een Amerikaans bedrijf, ondanks dat de rechter de Privacy Shield onvoldoende vond. Dat houdt niemand tegen om toch te kunnen bestellen bij een Amerikaans bedrijf, en dat bedrijf hoeft dan enkel aan de wetten daar te voldoen, die niet perse voldoen aan de AVG.

[Reactie gewijzigd door Sannr2 op 22 juli 2024 23:12]

Sebas1979 @Polderviking • 12 december 2022 16:51

Paspoorten weet ik niet, maar die vaccinatiebewijzen zullen zijn geweest om in coronatijd aan de regels te kunnen voldoen om toernooien te houden enzo?
(Zie de soap rond Djokovic wel/niet naar de Australian Open bij het tennis)

Frame164 @Polderviking • 12 december 2022 17:11

Jouw werkgever heeft toch ook een kopie van jouw ID? En aangezien het hier om professionele tafeltennisers gaat is het niet zo vreemd als ze dat hebben. En vaccinatiebewijzen zijn praktisch om te hebben voor als je in internationaal verband sport. Sommige landen kom je niet in zonder vaccinaties.

Polderviking

@Frame164 • 12 december 2022 17:15

Zijn ze allemaal in dienst van die tennisbond dan? Want dan is dat allicht een verklaring inderdaad.
Mijn werkgever heeft dat kopie omdat ze dat wettelijk verplicht zijn.
Zijn ze op zich ook liever kwijt dan rijk hoor.

[Reactie gewijzigd door Polderviking op 22 juli 2024 23:12]

Dark Angel 58 @Polderviking • 12 december 2022 17:18

Wat moet een tafeltennisbond met paspoorten en vaccinatiebewijzen?

Een voorbeeld... de sporters stappen in een sportbus en reizen per bus naar buitenland...
dus ik vind het wel logisch dat ze paspoorten en vaccinatiebewijzen moeten bijhouden.
Alsof de passagiers bij douane een voor een de documenten moeten overhandigen, dat kost veel tijd en ook tijdverspilling

Polderviking

@Dark Angel 58 • 12 december 2022 17:19

Alsof de passagiers een voor een de documenten moeten overhandigen, dat kost veel tijd en ook tijdverspilling

Nog nooit met een vliegtuig geweest?

Dark Angel 58 @Polderviking • 12 december 2022 17:20

[...]

Nog nooit met een vliegtuig geweest?

Tja... de sukkels

En ik vind ook dat ze een betere systeem moeten bedenken.

gimbal @Dark Angel 58 • 13 december 2022 09:56

Het duurt nog wel even voordat we in glazen kokers de wereld rondgeschoten worden.

gaskabouter @Polderviking • 12 december 2022 18:42

Tickets boeken, visa aanvragen, hotels etc. Mijn secretaresse heeft dat ook allemaal. Scheelt mij veel tijd.

Crew One 12 december 2022 16:41

.... als iets potentieel had _kunnen_ lekken, betekent dat dan ook dat er echt een lek was? (Juridisch gezien.)

(Ik snap uiteraard ook wel dat om het te constateren je in ieder geval 1 user-id ofzo moet proberen. Maar dat wil nog niet zeggen dat de hele database is leeg-gelepeld door kwaadwillenden.)

[Reactie gewijzigd door Crew One op 22 juli 2024 23:12]

kroegtijger @Crew One • 12 december 2022 16:44

Ik zou denken van wel... Als je luchtbed lek is, maar je blaast hem niet op en dus ontsnapt er geen lucht, maakt dat niet dat je luchtbed dan plots niet meer lek is. Als de vraag is of er ook daadwerkelijk data bij onbevoegden terecht is gekomen is dat natuurlijk een heel andere vraag

rneeft

@kroegtijger • 12 december 2022 16:54

Die luchtbed vergelijk is wel iets anders. Iets kan ook in de toekomst lek raken. DES was vroeger ook een super encryptie, maar met de kennis van nu compleet lek.

CJ_Latitude

@Crew One • 12 december 2022 16:49

Nee, bij een datalek is er daadwerkelijk iets met data gebeurd:

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

https://autoriteitpersoon...ing/meldplicht-datalekken

Er is sowieso wél sprake van een beveiligingsincident:

Naast een datalek kun je ook nog spreken over een beveiligingsincident. Een beveiligingsincident is een gebeurtenis waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatie verwerkende systemen in gevaar is (of in gevaar kan komen).
...
Ieder datalek is een beveiligingsincident, maar niet ieder beveiligingsincident is ook een datalek!

https://www.vogelaargroep...-zat-dat-ook-al-weer.html

[Reactie gewijzigd door CJ_Latitude op 22 juli 2024 23:12]

Orangelights23 @CJ_Latitude • 12 december 2022 17:04

Totdat je weet of iemand wel/geen toegang heeft gehad tot de data, moet je het beschouwen als datalek en melden bij de AP (in Nederland).

Groningerkoek @CJ_Latitude • 13 december 2022 01:17

Er hoeft niet iets met de data te zijn gebeurt.

In dit geval hebben jij en ik en ieder ander toegang tot deze gegevens, dat valt onder inbreuk op de vertrouwelijkheid en is aldus een datalek. Of wij dan wel of niet ook daadwerkelijk die gegevens hebben ingezien of op andere wijze tot ons hebben genomen doet voor de definitie volgens de autoriteit persoonsgegevens niet ter zake.

Er is geen wettelijke definitie dus de hoogst gezaghebbende om de definitie te bepalen lijkt mij de AP, die ook zorgt voor de naleving op de regelgeving omtrent datalekken.

Iets is bijvoorbeeld ook een datalek als er niets is gelekt maar de gegevens zijn versleuteld waardoor rechthebbenden op toegang tot de gegevens hun toegang tot de gegevens verliezen.

[Reactie gewijzigd door Groningerkoek op 22 juli 2024 23:12]

gaskabouter @Crew One • 12 december 2022 18:44

Ja ook @Cj Alwadi

Het simpele feit dat er toegang is, of zou kunnen zijn is een lek. Dus een usb stick laten liggen in de trein is een lek. Al verdwijnt hij in de prullenbak.

Doet niet ter zake of het lek ook daadwerkelijk misbruikt is

Sannr2 @gaskabouter • 12 december 2022 22:10

Niet als de stick encrypted is.

gaskabouter @Sannr2 • 12 december 2022 22:33

Dan nog zou ik het melden. Maar formeel heb je gelijk.