Persoonsgegevens en bankrekeningnummers 60.000 Belgen worden online aangeboden

De persoonsgegevens en bankrekeningnummers van tienduizenden Belgen worden op een forum aangeboden. Er zouden gegevens van 240.000 Belgen uit Vlaanderen en Brussel te koop zijn. In 60.000 gevallen zou er ook een IBAN bij zitten.

De data verscheen deze week op een 'populair hackersforum', zo ontdekte DataNews. Onder meer namen, geboortedata, adressen, telefoonnummers, e-mailadressen en in veel gevallen ook bankrekeningnummers zouden worden aangeboden op het forum. Het medium heeft de voorbeelddata geverifieerd en merkt op dat het in alle gevallen om personen geboren voor 1964 gaat, al is het niet duidelijk of de bijna vijftig voorbeelden representatief voor de dataset zijn.

De gegevens zouden buitgemaakt zijn via een gehackte Belgische website; uit de voorbeeldgegevens zou blijken dat mensen zelf data hebben ingevoerd omdat er in enkele gevallen een spelfout of een 'duidelijk vals adres' werd gebruikt.

Volgens DataNews bood dezelfde aanbieder van de data waarschijnlijk rond de feestdagen de bankgegevens van honderdduizenden Belfius- en ING-klanten aan op hetzelfde forum. Toen werd achterhaald dat de aanbieder de gegevens buitgemaakt had via Turkse en Kosovaarse callcenters, wat de aanbieder in een andere post zelf bevestigde.

Reacties (91)

Kroonkurk 14 januari 2023 16:14

Europese bedrijven gewoon verbieden gebruik te maken van callcenters (waarbij de AVG niet van toepassing is).
Dat zal niet alle problemen oplossen, maar wel een gedeelte.

beerse @Kroonkurk • 14 januari 2023 17:01

Het gebruik van callcenters verbieden wordt een uitdaging. Beter is daar regels op te zetten. Bijvoorbeeld voor de callcenters dus wel de AVG van toepassing verklaren.
En dat de callcenters in het zelfde politieke domein moeten zitten als de organisatie die ze representeren. En er kunnen meer domein-eisen gelden: Binnen het zelfde taal-domein bijvoorbeeld.

En ja, een callcenter verwerkt altijd avg gevoelige informatie. Het begint al met het telefoonnummer waarmee gebeld wordt. Daar boven de 'login gegevens' om de call te registreren en te koppelen aan de juiste origanisatie en zo. Daar kunnen best wel regels voor worden opgesteld.

mbbs1024 @beerse • 15 januari 2023 18:40

Kroonkurk zegt ook niet dat call centers moeten verboden worden, hij zegt net zoals jij dat ze zich moeten houden aan AVG regels.
En ja, als ze zich daar niet aan houden, volgen er boetes of in extreme gevallen verboden.

Die regels zijn er nu al, als een bedrijf gegevens door anderen laat verwerken, moet het bekijken of die andere partij volgens de regels werkt.
Naleving van de regels is wat anders, en daar schort het nogal eens.

Andros

België

@Kroonkurk • 15 januari 2023 00:23

En wie wou je dan bellen als je een vraag hebt over een besteld product of dienst? Zonder callcenters ook geen klantendienst namelijk...

supersnathan94

Datalek

@Andros • 15 januari 2023 13:00

Hoevaak heb jij ooit iemand in een callcenter aan de lijn gehad die je daadwerkelijk wat nuttigs kon vertellen?

Tot op heden nog geen enkele gehad waar dat ook echt het geval was en je serieus verder kwam dan we sturen wel een monteur.

Andros

België

@supersnathan94 • 15 januari 2023 14:58

Sinds wanneer stuurt de belastingdienst of je bank een monteur? Of leef jij alleen maar op internet? Er zijn meer bedrijven/instanties dan internetproviders die met callcenters werken. En als die monteur blijkbaar nodig is moet iemand die toch echt aan sturen. Anders zat mijn pa nu nog zonder TV nadat de coaxkabel in de straat kapot getrokken was door werkzaamheden in de sloot langs de weg...

supersnathan94

Datalek

@Andros • 15 januari 2023 18:37

Het ging om het voorbeeld natuurlijk. Rabobank werkt ook met partijen als Yource for klantenservice.

Punt is dat de meeste callcenters puur en alleen een script afratelen, maar nul domeinkennis hebben. Dat is het hele punt van dit soort grote callcenters. Lekker zaken filteren. Eerstelijns stelt echt niet meer voor dan dat.

Zelfs de belastingtelefoon zit deels in zo’n callcenter.

Andros

België

@supersnathan94 • 15 januari 2023 18:58

Mijn punt blijft staan, soms heb je zo'n standaard zaak gewoon nodig. Iemand moet die monteur aansturen, iemand moet een simpele wijziging kunnen uitvoeren, afspraak kunnen plannen etc. Het punt waar ik op reageer is een voorstel om callcenters in het algemeen te verbieden en dat slaat gewoon nergens op. Een verbod op koud outbound verkoop gaat wel veel bijval krijgen schat ik.

supersnathan94

Datalek

@Andros • 15 januari 2023 19:17

Mwah gezien de stand van zaken mbt ChatGPT denk ik dat veel van dit soort callcenters binnen no time niet meer rendabel gaan zijn.

Speech to text ervoor en text to speech erachter en je hebt al een heel groot deel van je responses klaar liggen.

Men is al bezig met het maken van dit soort systemen die de volledige callcenter helpdesk wegautomatiseert.

robertlinke @supersnathan94 • 17 januari 2023 10:54

STT is nog niet goed genoeg om het als invoer te kunnen gebruiken voor een ChatGPT, zeker nu ChatGPT nog op GPT3 draait. TTS werkt al wel beter, dus een ChatGPT tekst invoeren in een TTS app is zeker een optie, alleen is het bij ChatGPT nog niet mogelijk om de tekst op waarheid te filteren, dus als het geautomatiseerd een mogelijke oplossing aanbied, en meteen overgezet en naar de klant geleverd en dat blijkt later niet te kloppen heb je ook weer een probleem.

voor de komende 5 tot 10 jaar blijf je nog een mens in de loop nodig hebben om de output te verifieren

dasiro @Kroonkurk • 14 januari 2023 17:22

Hello [insert foreign callcenter] this is [insert name] from [insert company] and I would like to use your services to contact our potential customers.

veel van die bedrijfjes doet niet echt een uitgebreide background-check, zeker als ze zelf misschien niet 100% legaal bezig zijn. We spreken uiteindelijk over criminelen en de zwarte economie houdt zich per definitie niet aan wetten van overheden.

Groningerkoek @Kroonkurk • 14 januari 2023 17:59

Onzin natuurlijk, er wordt erg veel werk verricht door callcenters wat gewoon dik in orde is.

En wat bedoel je met "de AVG niet van toepassing is"

Als een EU bedrijf een lijst met EU onderdanen verstrekt aan een callcenter in Timboektoe dan is de AVG nog steeds van toepassing.

Frame164 @Kroonkurk • 14 januari 2023 19:10

Hoe wil je bedrijven telefonisch bereiken als er geen mensen zijn die de telefoon mogen aannemen?

Tapijtmepper 14 januari 2023 15:23

Hopelijk worden de klanten ingelicht.
Na de hack in Antwerpen raadde men https://www.checkdoc.be/ aan zodat je kon kijken of je identiteitskaart misbruikt was.

De website voelt, ironisch genoeg, als een fishingwebsite en geeft 0 uitsluitsel over wat er gebeurd is met je data of in welke zaken men dit misbruikt heeft. Enkel HIT of NO HIT, geen redenen. En daarbovenop dan kan de HIT ook nog eens ongeldig betekenen.

Ik verwacht hier veel meer van onze overheid. Dat ze eens kijken naar haveibeenpwned.com. Daar zie je waar en wat gelekt is. Ik verwacht ook melding te krijgen als mijn data is gebruikt in een misdrijf, misschien wil ik wel een rechtzaak aanspannen.
De huidige systemen om waakzaam te blijven tegen identiteitsfraude zijn erbarmelijk slecht.
Banken, en andere bedrijven, dienen niet alleen te melden wat er gelekt maar ook dit blijvend opvolgen. Eens de data gelekt is blijft deze ook online en vaak nog bruikbaar voor misdrijven.

[Reactie gewijzigd door Tapijtmepper op 23 juli 2024 20:38]

PacinoAllstars @Tapijtmepper • 14 januari 2023 15:43

Verwacht je meer van de overheid of van de bedrijven zelf?

Kijk, ik begrijp dat het systeem niet perfect is en dat er altijd ruimte is voor verbetering. Maar we moeten niet vergeten dat de overheid al een hoop doet om identiteitsfraude te bestrijden. Er zijn wetten en regels voor bedrijven en organisaties om hun informatiebeveiliging op orde te houden en te melden wanneer er een datalek plaatsvindt. Er zijn ook speciale politie-eenheden die zich specifiek richten op het onderzoeken van identiteitsfraude.

Maar goed, dat neemt niet weg dat er nog steeds veel gebeurt met misbruik van gegevens. Dus, wat moet de overheid dan nog meer doen? Nog meer preventiecampagnes starten?

Tapijtmepper @PacinoAllstars • 14 januari 2023 16:07

Van beide. Eerst en vooral moet checkdoc.be verbeteren.
Verder dienen bedrijven én de overheden zeer strikte en technisch onderbouwde standaarden te volgen.
Vervolgens, als er dan toch iets lekt, moet men actief de schade proberen te beperken en de slachtoffers (mensen of organisaties) onmiddelijk en in detail informeren en ondersteunen.

Als je met een auto iets beschadigd rijd je niet zomaar weg.

Helaas doen overheden en bedrijven dat wel met je data. Als er op vluchtmisdrijf zware staffen staan, die personen treffen, moet dit ook kunnen voor bedrijven. Data gelekt (en verzwegen) en nagelaten standaarden toe te passen? Strafblad voor de leidinggevenden.

Als electricien ben ik ook aansprakelijk als iets ik rommelig installeer met huisbrand tot gevolg.
Dan ook de CEO, minister, werknemer. Daar zou absoluut geen sprake mogen zijn van onschendbaarheid.

Ik snap dat veel mensen hier plots gaan huiveren en denken dat hun werk onmogelijk gaat zijn maar besef dan ook even wat je kan aanrichten door slecht werk te leveren en apathisch te handelen.

kodak

Datalek
Hack
Beveiliging en antivirus
Hackers

@Tapijtmepper • 14 januari 2023 17:32

Je wil dat de slachtoffers ingelicht worden. Je leest ook dat onduidelijk is waar de gegevens vandaan komen en ze alleen bij de crimineel verkrijgbaar zijn. Wat stel je nu voor? Dat een willekeurig bedrijf of de overheid deze crimineel moet betalen om gegevens te krijgen? Want meer opties zijn er niet. En criminelen belonen dat ze stelen en proberen te verkopen lijkt me juist niet de bedoeling.

En dan? Deze gegevens zijn helaas niet zomaar uniek. Er worden dagelijks dit soort gegevens verhandeld, zelfs op legitieme markten, om vervolgens op manieren te gebruiken die eigenaren liever niet hebben. Meneer mevrouw uw gegevens zijn handelswaar, maar dat was al bekend maar iemand wil graag dat u dat nog een keer te horen krijgt?

vrow @kodak • 15 januari 2023 18:51

Het probleem is dat je met een bankrekeningnummer veel te veel (kwaad) kan.
In theorie zouden alle bankrekeningnummers en namen gewoon openbaar moeten en mogen zijn. In het ergste geval kan iemand dan geld naar je overmaken. Maar zo is de praktijk helaas niet. Abonnementen met automatische incasso kunnen veel te makkelijk worden aangegaan.
De iDeal-controle met 1 cent overmaken is ook een soort noodmiddel. In iDeal zou gewoon een aparte incasso-machtiging moeten komen, dan is die 1-cent-en-dan-plunderen-we-je-rekening ook afgelopen. In je bank-app moet gewoon staan ‚hiermee geeft u een doorlopende incasso-machtiging aan bedrijf xyz die hiermee onbeperkt geld kunnen afschrijven‘. En ook een lijst met alle bedrijven die een machtiging hebben en de optie om die direct in te trekken. Het is allemaal nog gebaseerd op de situatie 50 jaar geleden en die was heel anders.

kodak

Datalek
Hack
Beveiliging en antivirus
Hackers

@vrow • 15 januari 2023 19:16

Ik lees in je motivatie geen onderbouwing hoe het redelijk is dat een willekeurig bedrijf of overheid geld aan een crimineel gaat betalen om zo te belonen en aan te moedigen wat het gevaar veroorzaakt om iets te bewijzen wat al bewezen zou zijn. Je kan niet tegen dit soort criminaliteit zijn en dan gaan belonen en aanmoedigen. Dan heb je kennelijk een heel ander motief dan tegen deze criminaliteit zijn.

arbraxas @PacinoAllstars • 14 januari 2023 16:18

Sorry maar zo als ik het zie is vooral de overheid koploper met het aanleggen van databases met nog veel gevoeliger informatie als dit.
Juist de overheid stimuleert de privacy erosie.
Voorbeeldje is de voorgenomen database waarin alle betalingsverplichtingen van Nederlanders boven de 50 euro word geregistreerd. Een leuk doelwit voor de criminele hackert.

Alles moet tegenwoordig in databases en online benader benaderbaar zijn, dus krijg je dit. Want er is geen 100% veilig systeem.

En intussen doordrammen met online identiteit kaarten etc. Dit word frequenter met nog veel grotere schades.

[Reactie gewijzigd door arbraxas op 23 juli 2024 20:38]

n4m3l355 @PacinoAllstars • 15 januari 2023 04:18

Het onderliggend probleem is dat we gewoon veelste veel informatie delen. Er zijn bedrijven die bedrijfsmatig basale informatie opvragen maar zelfs daar mag je je van afvragen of dit noodzakelijk is, en dan zijn er nog eens bedrijven diens bestaansrecht bestaat uit het verzamelen van persoonlijke gegevens.

Zelfs de eerste mag je je afvragen is dit noodzakelijk, waarom is het zo dat mijn gegevens bij bedrijven terecht komen? Kunnen we niet een token generen waarbij mijn gegevens bij mij blijven en als bedrijf x denkt mijn voor en achternaam en address te moeten weten, dat ze daar via die token een aanvraag bij mij voor doen? En bankgegevens die heeft toch helemaal niemand nodig behalve als die van plan zijn om mij te betalen?

En bedrijven zoals Meta die als maar meer data verzamelen, gewoon verbieden dit is helemaal niet nodig. Als jij mijn gegevens wilt doe maar een aanvraag, vraag maar naar mijn naam, leeftijd, geslacht, woonplaats en als ik dat wil delen dan doe ik dat. Wellicht tegen betaling zelfs immers zij verdienen geld aan mijn gegevens. En zelfs dan mag je je afvragen wat voor data delen we, daadwerkelijk gedetailleerde data of meta data?

We komen in een wereld waar steeds meer persoonlijke gegevens rond gaan terwijl de gedachte rondom privacy nog steeds heel basaal is. Het is geen 1990 meer, er gaan miljarden in dit soort data om en de (mis)bruik is van ongekende proporties. Ook de consequencies kunnen ongekend zijn. De overheid ligt hier dan ook te slapen, het is hun taak om onze privacy veilig te stellen helaas zien we vaak dat niets minder waar is en dat zij juist maar wat graag onze data willen.

robertlinke @PacinoAllstars • 17 januari 2023 10:56

nou de informatie voorziening als het gebeurt kan wel beter.
preventie is leuk, maar de consument is vaak niet het doelwit.

bbstreams 14 januari 2023 19:02

is eigenlijk best griezelig hoe gemakkelijk het (ook in nederland) is om met een paar persoonsgegevens, gevoelige info te krijgen. Een ziekenhuis vraagt bv om je geboortedatum en achternamen en ze hebben toegang tot je medische gegevens. geen authenticatie of verificatie voor nodig, laat staan een alert naar de patiënt.

[Reactie gewijzigd door bbstreams op 23 juli 2024 20:38]

Stpan @bbstreams • 15 januari 2023 03:17

Daarom is het goed dat in Nederland je BSN nummer niet door prive instanties* wordt gebruikt. En dat je BSN nummer niet meer op de paspoort pagina staat die je normaal gesproken als 'kopie paspoort' gebruikt.

Zo heb je in ieder geval een stukje identificatie data achter de hand dat iets minder vrij rondslingert.

Ik merk dat bijvoorbeeld banken wel iets meer vragen stellen dan NAW als je een nieuwe pas wilt laten maken, of je internet bankieren wachtwoord naar een buitenlands adres wilt laten sturen. Je moet persoonlijk op komen dagen. Of in het geval van een gezamelijke rekening, of je partner aan de telefoon kan komen en het saldo van de gezamenlijke rekening kan noemen.

Maar het wordt een soort wapenwetloop, en hoe meer datapunten er van je rondzwerven, hoe groter de kans op identiteitsfraude en financiële schade.

*Behalve als er directe aanleiding is, zoals bij je werkgever voor je salarisstrook/belastingaangifte.

telenut @Stpan • 15 januari 2023 11:02

Misschien moet men het BSN nummer ook minder gebruiken als soort 'wachtwoord' of unieke identificatie in NL. Als mijn rijksregisternr ergens geweten is lig ik daar totaal niet wakker van, want daar kan je in principe weinig mee aanvangen

Stpan @telenut • 16 januari 2023 04:18

Je bedoelt dat het BSN nummer nog minder toegepast moet worden, zodat er nog minder datapunten zijn?

Ik vind het persoonlijk wel een aanvaardbaar risico dat DigiD als een verificatiemethode wordt toegepast. Een instantie wil weten of ik echt Stpan ben. Ik word doorgelust naar DigiD, valideer dat ik het ben, en de instantie krijgt een 'ja' of 'nee' response van DigiD - zonder dat de instantie onnodige inzage krijgt of mijn BSN nummer ergens opslaat.

Ik heb een tijdje in Singapore gewoond. En daar wordt de lokale equivalent van je BSN echt (maar dan ook echt!) te pas en te onpas gebruikt. Bij de huisarts, bij de ingang van het kantoorgebouw. En in Covid tijden was het nog veel erger (hoewel men daar probeerde het bij de laatste 4 cijfers te houden bij verificatie). En men probeert in Singapore ook de bevolking middels campagnes duidelijk te maken deze niet zo vaak in te zetten. Een sprekend voorbeeld is een buurtloterij - levert iedereen zijn BSN nummer in op een Excel - zodat het hoofd buurtcommittee 'eerlijk' lootjes kon trekken. Dat probeert de Singaporese overheid nu te ontmoedigen.

Goed, als je weet dat je BSN overal op straat ligt, dan is dat simpelweg een devaluatie van dit datapunt als indentificatie voor echt gevoelige onderwerpen. Gek genoeg was mijn Nederlandse paspoortnummer een zeer waardevolle identificatie voor de Singaporese overheid. Wat ik vreemd vond, want mijn paspoortnummer verandert als hij verloopt (of sneller nog, wanneer ik hem kwijtraak).

Niet het einde van de wereld voor Singapore, die hebben hun overheids IT zaakjes verder wel op orde. Maar achteraf was het beter geweest als ze ook in SG wat zuiniger met hun BSN zouden hebben omgesprongen, dan heb je dat in ieder geval nog achter de hand als 'hoogste' datapunt voor bankzaken, rechtzaken en de belastingdienst.

telenut @Stpan • 16 januari 2023 10:08

een niet eens zo lang nummer gebruiken als unieke identificatie kan toch nooit een goed idee zijn...

Hier in België hebben we allemaal een e-ID. Een digitaal certificaat, met een pin en puk code. Reset enkel mogelijk bij het gemeente/stadshuis. Perfect veilig dus en de ideale oplossing.
En bij vervanging van de e-ID heb je ook een nieuw certificaat dus.
Uw rijksregisternr blijft bijna altijd hetzelfde (bij verandering van geslacht niet denk ik...) wat voor identificatie mogelijks handig blijft dus. (bij wijziging naam of adres blijft het ook hetzelfde

Stpan @telenut • 16 januari 2023 14:55

Maar wat is dan in Belgie de equivalent van je BSN?

Ik ken het e-ID principe (ook uit Singapore), een password reset kan ook alleen op een fysieke locatie.
Maar uiteindelijk ging het daar alsnog altijd om het BSN nummer (NRIC heet het daar) dat je username is.

En in Nederland heb je DigiD - zelfde principe. Met 2-staps verificatie.

Wat is er anders aan Belgie tov Nederland & Singapore?

telenut @Stpan • 18 januari 2023 10:39

Hier heb je ook uw rijksregisternummer. Maar ik heb de indruk dat het BSN nummer in NL zeer privacy gevoelig is... als in: als je dat weet van iemand kan je daarmee veel, inloggen ergens? uw identificeren ergens? Geen idee, maar men is er zeer huiverig over om dit ergens af te geven.

Mijn rijksregisternummer mag gerust op straat liggen, veel zal je er in principe niet meer kunnen aanvangen.

Stpan @telenut • 18 januari 2023 11:33

Ah ik snap het.

En dat is waarom ik denk dat Nederland een veilig datapunt achter de hand heeft tov van België en Singapore. De BSN is minder openbaar en beter beschermd.

Natuurlijk is het niet zo dat je online alles maar kunt aanvragen omdat je een BSN hebt. Particulieren moeten hier nooit om vragen, en overheid verlangd DigiD.

Maar het maakt m.i. de kans op identiteitsfraude kleiner als de burgers en overheid een redelijk beschermd kenmerk hebben.

Tegelijkertijd loopt met in NL weer iets achter met DigiD bescherming. Wachtwoorden per post, en laat met 2FA. Wellicht is NL lakser juist omdat de BSN goed beschermd is.

Dus denk niet dat NL veiliger is dan België.

[Reactie gewijzigd door Stpan op 23 juli 2024 20:38]

telenut @Stpan • 18 januari 2023 11:35

euh... totaal niet dus. Een simpel cijfer kan je niet deftig beschermen. Als je dit denkt, dan ben je al fout bezig...

utopiaBe @bbstreams • 15 januari 2023 00:44

Tot al je medische gegevens, of louter tot ziekenhuisdata? Voor zover ik weet moet je in België expliciet toestemming geven welke arts je gegevens mag inkijken naast je eigen arts. Niet dat dit een waterdicht systeem zal zijn, maar in principe zou het wel geregeld moeten zijn...

DestroBan @utopiaBe • 15 januari 2023 03:23

Dit is bijvoorbeeld voor huisartsen gewoon een checkbox die ze zelf aanvinken. Toen ik veranderde van huisarts heeft ze dat wel effectief gevraagd...
Maar voor medische data is er dus een aparte sectie in de AVG. De reden is eigenlijk vrij eenvoudig: ze moeten rap en zonder toestemming aan die data kunnen om je leven te redden indien nodig. Bijvoorbeeld allergieën voor bepaalde medicatie op spoed, wanneer je zelf niet bij bewustzijn bent.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@DestroBan • 15 januari 2023 09:32

Gegevens over iemands gezondheid zijn gevoelig. De Algemene verordening gegevensbescherming (AVG) bepaalt dan ook dat dit bijzondere persoonsgegevens zijn. En dat organisaties deze gegevens alleen mogen gebruiken als aan bijzondere voorwaarden wordt voldaan. Bij bijzondere persoonsgegevens gelden strengere voorwaarden en regels dan bij normale persoonsgegevens.

DestroBan @Bor • 15 januari 2023 12:00

Dat klopt. En ziekenhuizen / artsen zijn dus die uitzondering. Artikel 6 (e):

processing is necessary in order to protect the vital interests of the data subject or of another natural person;

Ziekenhuizen hoeven dit dus niet te doen.

Ik werk zelf al 7 jaar in de digital health sector.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@DestroBan • 15 januari 2023 12:10

Wat is "dit niet te doen" in deze?

Artikel 6 (e) is:

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

Je bedoelt denk ik 6 (d):

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

Artikel 6 gaat puur over de rechtmatigheid van de verwerking. Je kan je niet in alle gevallen simpelweg beroepen op het beschermen van de vitale belangen van de betrokkene en verder geen maatregelen treffen. Zoals aangegeven is informatie over gezondheid een bijzonder persoonsgegeven. Je hebt hier ook een verantwoordingsplicht.

Zorgverleners en de AVG

[Reactie gewijzigd door Bor op 23 juli 2024 20:38]

DestroBan @Bor • 16 januari 2023 02:24

Geen idee hoe het in Nederland werkt, maar in België worden de meeste medische gegevens opgeslagen in de cloud, genaamd EHealth, beheerd door de overheid.
Een huisarts kan bijvoorbeeld door middel van een checkbox aan te vinken in zijn EPD alle gegevens van de patiënt van een andere GP overnemen, dit wordt weliswaar getracked en de patiënt zelf kan deze therapeutische relatie online zien en verbreken.
Ziekenhuizen kunnen ook deze medische gegevens opvragen van EHealth. Dit kan zonder consent door artikel 6 d (inderdaad d en nie e). Dit staat los van de patient-identifiable en medische gegevens die ze zelf vergaren en opslaan in hun EPD/EHR of andere software, waar inderdaad nog extra strengere regels voor bestaan dan gewone gegevens.

Edit:
Ter verduidelijking, mijn antwoorden so far gaan hier over:

Voor zover ik weet moet je in België expliciet toestemming geven welke arts je gegevens mag inkijken naast je eigen arts.

[Reactie gewijzigd door DestroBan op 23 juli 2024 20:38]

MISTERAMD @utopiaBe • 15 januari 2023 01:52

Via cozo moet je een ID hebben anders kan je uw eigen dossier niet zien. Ik vind dat uiterst "safe".
Ook via de app "itsme" geraak je op je cozo.

In een ziekenhuis zien ze wel de foto van de persoon en kunnen ze direct controleren of ze de juiste persoon voor zich hebben.

DocMac

@bbstreams • 15 januari 2023 09:21

Ik heb wel eens mijn medisch dossier opgevraagd en ik kon precies zien wie mijn dossier had ingezien. Dat was 7 jaar geleden. En de namen herkende ik ook allemaal van de mensen die me behandeld hadden. Ik heb nu een login waarmee ik precies kan zien wie mijn dossier heeft bekeken. Het is heel transparant.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@bbstreams • 15 januari 2023 09:23

Een ziekenhuis vraagt bv om je geboortedatum en achternamen en ze hebben toegang tot je medische gegevens.

Dit klopt helemaal niet. Er geld een legitimatieplicht. Dat is gewoon wettelijk vastgelegd.

Als u medische zorg nodig heeft, moet u een geldig identiteitsbewijs laten zien aan de zorgverlener. Bijvoorbeeld in het ziekenhuis of bij uw tandarts. De legitimatieplicht in de zorg geldt voor iedereen, dus ook voor minderjarigen jonger dan 14 jaar.

Bron en meer informatie: https://www.rijksoverheid.../identificatieplicht-zorg

[Reactie gewijzigd door Bor op 23 juli 2024 20:38]

dasiro 14 januari 2023 14:48

hoeveel sites zouden er zijn waar 5% van de bevolking (al dan niet fake) op is geregistreerd en een kwart daarvan zelfs bankgegevens heeft ingevuld?
Beheerders die zich in die getallen herkennen zouden toch al eens moeten gaan vergelijken met hun data of zij het slachtoffer zijn geworden zonder dat ze het weten en dus alsnog een GDPR-melding en aangifte zouden moeten doen

litebyte @dasiro • 14 januari 2023 14:53

Het is geverifieerd door datanews...

[Reactie gewijzigd door litebyte op 23 juli 2024 20:38]

dasiro @litebyte • 14 januari 2023 17:08

geen idee wat je daarmee bedoelt. Wie heeft de data geverifieerd en waartegen? Er staat dat er duidelijk valse gegevens in staan en dat zou bvb banksites al uitsluiten, want die hebben alle data die op je identiteitskaart staan. Sites waar je dingen koopt zoals bol.com zijn ook al uit te sluiten, want je wil graag dat je bestelde spullen wel juist geleverd worden. Het zou dus al moeten gaan om Vlaamse sites met online content only waar je optioneel ook een abbo op kan nemen zoals bvb hln.be aangezien er blijkbaar geen Waalse of Nederlandse gegevens werden gevonden.

litebyte @dasiro • 14 januari 2023 23:38

Het is geverifieerd door datanews

LieveGeit 14 januari 2023 16:34

Ik zou ook oppassen met websites als Have I been Pwned aangezien websites zoals dit jouw IP adres kunnen linken aan je ingevulde data (bijv. emailadres of telefoonnummer) en dit weer doorverkopen

Frame164 @LieveGeit • 14 januari 2023 19:11

Dat inderdaad. Ook zij bieden een gratis service dus dat maakt het per definitie kwetsbaar. Geld moet ergens vandaan komen.

blissard @Frame164 • 15 januari 2023 00:44

Heb je enige reden om aan te nemen dat deze site informatie doorverkoopt? Want anders is dit niet meer dan een hoop lucht.

SunnieNL

@LieveGeit • 15 januari 2023 09:38

Ik ben benieuwd naar je bewijs dat die website dat doet en anders moet je niet zomaar een website noemen.
Hibp heeft zover ik weet, 3 gescheiden databases. Een met allemaal e-mailadressen (dat is degene waar je jezelf op kan abonneren), een met telefoonnummers en een met wachtwoorden. Daar zitten geen relaties tussen. Je kunt zoeken of je e-mailadres voor komt, of je wachtwoord voorkomt (al kan die gebruikt worden door een ander e-mailadres) of dat je telefoonnummer voorkomt in de database. Een link is echter niet te leggen tussen die gegevens.

Geld verdient hij door donaties en doordat de api gebruikt wordt door bedrijven als Microsoft, Apple, Google, etc om te bepalen of een wachtwoord dat jij gebruikt ooit eens gelekt is (ze checken niet of dat wachtwoord was gekoppeld aan jouw e-mailadres want dat kunnen ze niet).

efari @SunnieNL • 15 januari 2023 10:11

Een link is echter niet te leggen tussen die gegevens.

Als 1 ip adres binnen de 5 minuten drie keer beroep doet op hibp en telkens een ander gegeven opvraagt, kan hibp daar wel degelijk relaties tussen leggen. Dan is het vrijwel zeker dat die aparte gegevens toebehoren tot 1 persoon.

Wat lievegeit suggereert is:
Als hibp logs zou bijhouden, en als die ooit zou leaken, dan is er wel veel geweten…

tele-n-ettertje 14 januari 2023 21:18

Wat kan iemand met een IBAN nummer eigenlijk doen? Zonder inlogcodes komen ze toch nooit bij je rekening? Of zie ik dat verkeerd?

Stijn98765 @tele-n-ettertje • 14 januari 2023 23:00

Aangezien het samen met naam en adres is kan het gebruikt worden voor social engineering. Veel van de slachtoffers kunnen nu een telefoontje of bezoek aan huis krijgen van "de bank"

Engineer Stewie @tele-n-ettertje • 15 januari 2023 09:03

Ze mogen altijd wat geld storten…

litebyte 14 januari 2023 14:57

Frappant dat het data van personen is van voor '64...de generatie waarvan velen de 'jongeren' waarschuwt dat digitalisering' alleen maar ellende brengt.

Andros

België

@litebyte • 14 januari 2023 15:34

Dit is de ellende kant inderdaad. Probleem is alleen niet de "digitalisering" maar de lakse mensen die met onze data om gaan. Veel lekken ontstaan door standaard wachtwoorden, rondslingerende laptops, data op die laptops die er niet eens op mogen staan en allerhande andere fouten van gebruikers beheerders van deze data. Computers maken geen fouten, mensen maken de computers. En het gemak dat de huidige tijd met zich mee brengt wordt vergeten net als de ellende uit het verleden. Alleen de goede dingen onthouden ze...

[Reactie gewijzigd door Andros op 23 juli 2024 20:38]

litebyte @Andros • 14 januari 2023 15:44

Het heeft deels met laksheid en onzorgvuldigheid te maken, maar dat mag nooit, niet eens een deel van he excuus zijn. Je moet uitkijken (en daar zijn ze vooral in Nederland goed in) om het zo te framen dat het uiteindelijk de schuld van het slachtoffer lijkt. 'Dan had je ook maar niet....dan had je ook maar....' terwijl er gericht een strafbaar feit is gepleegd. We zijn sociaal al zover afgedreven dat we als slachtoffer eerst gaan kijken hoe we het zelf (hadden) moeten voorkomen. Van verkrachting, tot de keukendeur die niet op slot zit..of omdat iemand van 75+ de digitaliseringsslag niet kan bijhouden en door een combinatie van overheid/banken gedwongen wordt om mee te gaan.

Andros

België

@litebyte • 14 januari 2023 16:13

Laksheid en onzorgvuldigheid van bedrijven en medewerkers die wij als gebruikers met onze data vertrouwen zijn weldegelijk oorzaken van dit soort problemen. Dat is geen excuus, dat is gewoon de verantwoordelijkheid leggen bij degene die er weldegelijk verantwoordelijk voor is. Wat je verhaal over slachtoffer schuldig lullen er mee te maken heeft snap ik even niet, daar heeft niemand het hier over.

litebyte @Andros • 14 januari 2023 16:25

Omdat ons een beeld wordt voorgehouden dat je zelf eigenlijk verantwoordelijk bent en dat mocht je oplichting niet (kunnen) inzien het voortkomt uit laksheid danwel onzorgvuldigheid. Aan den andere kant wordt ons het verhaal verteld dat alles veel makkelijker, sneller en veiliger gaat.

blissard @Andros • 15 januari 2023 00:47

De primaire oorzaak is de misdadiger die dit soort informatie steelt en verhandelt. Secundair is dit pas het bedrijf / de particulier die de data onvoldoende beveiligt. Waarbij een bedrijf meer verantwoordelijkheid heeft dan een willekeurige burger.

akooijman @Andros • 14 januari 2023 16:02

Nee hoor.
Rondslingerende wachtwoorden zijn maar zelden aanleiding voor serieuze inbraken. Net zo min als de mededeling dat je met vakantie bent op Facebook.
Zwakke wachtwoorden? Een goede website staat slechts een beperkt aantal pogingen toe, dan is abc123 een prima wachtwoord tenzij de ver-hash-te wachtwoorden gelekt zijn.
Gestolen, slecht beveiligde laptops, usb sticks en andere gegevensdragers zijn wel regelmatig oorzaak, daar kunnen veel mensen wel wat opvoeding gebruiken.

Andros

België

@akooijman • 14 januari 2023 16:10

Ik zeg toch nergens rondslingerende wachtwoorden van gebruikers? Ik doel op rondslingerende wachtwoorden van medewerkers bij bedrijven die lekken, net zoals rondslingerende laptops zoals die grap van de VU onlangs. Nergens geef ik het slachtoffer/gebruiker de schuld, dit geldt ook voor @litebyte . Ik doel op onzorgvuldigheden van bedrijven en medewerkers die geacht worden fatsoenlijk met gegevens om te gaan wat regelmatig fout gaat.

litebyte @Andros • 14 januari 2023 16:35

Als het goed is moeten ook medewerkers wachtwoorden niet kunnen inzien, laat staan dsu mogelijk zijn om rond te laten slingeren, tot op zekere hoogte ook niet (alle) persoongegevens of dat deze direct te koppelen zijn aan andere gegevens (zoals een wachtwoord of BSN etc etc). Het geeft gewoon de zwakheid en risico van digitale systemen aan. Dat moet je als overheid erkennen en op inzetten. Dan kan door veel zwaarder straffen (voor zowel nalatigheid/gebrek vanuit de 'dienst'verlener als oplichter) als ook veel zwaardere voorwaarden verbinden aan digitale systemen.

Persoonlijk vind ik het van belang (ook om andere redenen) dat je altijd nog in staat moet zijn om fysiek al je bankzaken te kunnen doen - dat zou een voorwaarde vanuit de overheid moeten zijn.

Frame164 @Andros • 14 januari 2023 19:08

Het zou goed zijn dat alle opties om inloggen op apparaten uitgezet kunnen worden uit de software wordt gehaald. Gewoon verplicht inloggen op een pc, smartphone en andere apparaten waar misbruik van gemaakt kan worden. Zelfs bij mensen die alleen wonen zijn wel eens situaties voorgekomen dat anderen misbruik hebben gemaakt van onbeveiligde toegang.

dasiro @litebyte • 14 januari 2023 17:16

Ondanks hun leeftijd (om het zo oneerbiedig te zeggen), is dit wel een generatie waar velen toch nog wat mee zijn met heel de digitalisering. De gedachte dat alle ouderen een probleem hebben met digitalisering is wel heel kort door de bocht. Het kan zijn dat het bvb een seniorenwebsite is die al lang bestaat en dan is het niet zo abnormaal dat je dat jaartal als ondergrens krijgt. Weinigen zijn geïnteresseerd in wat je tijdens je pensioen allemaal kan doen totdat het bijna zo ver is

Andros

België

@dasiro • 15 januari 2023 00:28

Dat niet alleen, reacties over "de ouderen" horen we al meer dan twintig jaar. Echter zijn de ouderen van nu niet de ouderen van twintig jaar geleden. De generaties die niet met "moderne" technologie om kunnen gaan sterven vanzelf uit.

dasiro @Andros • 15 januari 2023 11:14

de term "moderne" technologie verandert ook steeds hé, op een bepaald moment stop je gewoon met dingen aan te leren en zullen mensen van een bepaalde leeftijd niet meer mee zijn. Zo zullen er nu nog een hele hoop mensen zijn die niet leren hoe ze een AI moeten trainen, moest dat ooit een skill zijn die gemeengoed wordt, dan zullen jij en ik misschien die moeite niet meer gedaan hebben

Frame164 @litebyte • 14 januari 2023 19:09

Iemand uit pak m beet 1958 was pas 40 toen internet "groot" begon te worden.

nutty 14 januari 2023 18:31

Dit soort zaken stopt pas als bedrijven strenger aangepakt worden,middels een enorme boete,of gevangenisstraf.
Tot die tijd zijn we aan de goden overgeleverd.

Frame164 @nutty • 14 januari 2023 19:13

En voor wie is die gevangenisstraf dan? Je kunt de bestuurder opsluiten maar als de sysadmins er dan nog steeds met de pet naar gooien los je niets op. Of wil je een organisatie waarbij alle acties langs het topmanagement moeten gaan zodat zij verantwoordelijk kunnen worden gehouden?

fifanoob @Frame164 • 15 januari 2023 10:56

De bestuurder is toch verantwoordelijk voor het werk van zijn systeem admin?
Daarvoor krijgt zo’n bestuurder ook hoger salaris want heeeeeeel veeeeeeel verantwoordelijkheid maar als het er op komt dan vind jij dat we ze niet verantwoordelijk kunnen houden?
Prima geef zo’n bestuurder dan ook het salaris van een normale medewerker.

Natuurlijk is die bestuurder schuldig, die geeft immers de opdracht en die moet dat controleren.

utopiaBe @nutty • 15 januari 2023 00:56

Dat klopt. Nu, wat België betreft zijn er toch wel fikse boetes voorzien voor wie slordig met data omgaat. Gevangenisstraf wordt wat lastiger in het geval van een rechtspersoon. Dan moet je al echt een natuurlijk persoon verantwoordelijk kunnen stellen.
Vermoed dat dit ook op aansturen van Europa komt. Waar ik wel een voorstander van ben, is om de administratie die hier voor bedrijven bijkomt niet nodeloos zwaar te maken. Ook daar heeft men in België nl. wel een handje van weg.
Heb zelf een bedrijf en hou bewust alle data nogal 'ingebakend'. Enkel wat moet doorgegeven worden, wordt doorgegeven aan derden (vb facturen aan belastingsdienst). Na de verplichte termijn verwijderen wij ook gegevens van klanten en bestellingen. Betalingen worden dan weer door externe providers geregeld en die zijn ook duidelijk voor klanten. Wij hebben dus geen bankgegevens. Bewust ook geen google analytics op de site en al zeker geen doorverkopen van data. Zo'n zaken moeten glashelder in een policy kunnen gezet worden, zodat meteen voor iedereen duidelijk is wat met data gebeurt. Wat ik niet zou willen, is dat dit weer jaarlijks een hele administratie wordt die doorgegeven moet worden.

Roel1966

14 januari 2023 20:07

dat de aanbieder de gegevens buitgemaakt had via Turkse en Kosovaarse callcenters

De vraag blijft hoe dan die callcenters aan al die info van die gebruikers gekomen zijn en dit op twee manieren kan. Of dat dit van die dubieuze callcenters zijn geweest die van allerlei nep-services aangeboden hebben met hulp op afstand etc... Wat ook zou kunnen is dat helpdesks gebruik maken van deze callcenters vanwege misschien goedkope arbeidskrachten. In beide situaties blijft het kwalijk dat er prive info van mensen door die callcenters werd gevraagd. Maar in de 2de situatie denk ik zelf dat daar ook eens flink ingegrepen moet worden en helpdesks strengen worden aangepakt. Of beter nog dat helpdesks binnen het eigen bedrijf blijven en niet zomaar worden uitbesteed aan onbekende derden.

kodak

Datalek
Hack
Beveiliging en antivirus
Hackers

14 januari 2023 15:49

Ik mis in de uitleg wat er bekend is over de criminele handelaar. Toch wel belangrijk als je toch gaat speculeren over wat opvalt waar het lek kan zitten.
Is het een account dat vaker dit soort handel doet? Noemt de crimineel "verkoopargumenten" voor een specifieke groep, of is deze het achterloos aan het aanbieden? Zijn er pogingen gedaan om het als vers/nieuw lek aan te bieden door op iets unieks te wijzen waaruit dat moet blijken?

De gegevens klinken zo weinig veranderlijk dat het net zo goed om een heel oud lek kan gaan waarbij de crimineel nauwelijks moeite hoeft te doen om er een selectie van te maken wat nog actueel en verkoopbaar is.

Op dit item kan niet meer gereageerd worden.

Persoonsgegevens en bankrekeningnummers 60.000 Belgen worden online aangeboden

Lees meer

Reacties (91)

Sorteer op:

Weergave: