Consumentenbond: organisaties informeren consumenten onvoldoende over datalekken

De Nederlandse Consumentenbond concludeert op basis van een steekproef dat veel organisaties consumenten niet goed genoeg informeren bij datalekken. Waarschuwingen zijn vaak onduidelijk, stelt de organisatie.

De Consumentenbond bekeek in totaal 69 waarschuwingen van onder meer garages, scholen, IT-bedrijven en webwinkels. Daarvan bleken 37 waarschuwingen onduidelijk of er miste bepaalde cruciale informatie. Zo werd bij een kwart van de berichten niet gemeld welke informatie onderdeel van het lek was. Daarnaast stelt de bond dat de informatie over de datalekken nogal eens weinig alarmerend was en dat de bedrijven er niet in vertellen welke maatregelen ze hebben genomen om verder misbruik tegen te gaan. In een derde van de meldingen staat niet weergegeven wat consumenten zelf kunnen ondernemen om de schade te beperken.

De Consumentenbond heeft een lijst gepubliceerd van alle organisaties die onderdeel van de steekproef waren. Één bedrijf wordt bewust eruit gelicht en met naam en toenaam genoemd: modemerk Livera. Bij dit bedrijf was sprake van een datalek en de waarschuwing is in de ogen van de Consumentenbond een voorbeeld hoe het vooral niet moet. In het bericht met de kop 'Bescherming van persoonsgegevens bij Livera hoogste prioriteit' wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.

Sandra Molenaar, de directeur Consumentenbond, benadrukt dat criminelen gelekte gegevens kunnen misbruiken voor babbeltrucs of phishing en vindt goede informatie naar consumenten dan ook erg belangrijk, maar constateert dat veel organisaties dat niet doen: "Ze vergeten cruciale informatie te delen en soms lijken ze meer bezig met de bescherming van hun reputatie dan met de zorg voor hun klanten. Dat is heel kwalijk. Organisaties lijken zich niet te realiseren dat consumenten daardoor onnodig extra risico’s lopen." De Consumentenbond heeft de resultaten van het onderzoek gedeeld met de Autoriteit Persoonsgegevens.

Door Joris Jansen

Redacteur

Feedback • 29-03-2023 10:54
55 • submitter: Anonymoussaurus

29-03-2023 • 10:54

55

Submitter: Anonymoussaurus

Lees meer

Consumentenbond: plaats voorlopig geen bestellingen bij Refurbished.nl
Consumentenbond: plaats voorlopig geen bestellingen bij Refurbished.nl Nieuws van 11 februari 2024
Consumentenbond zet rechtszaak tegen Google vanwege massaprivacyschending door
Consumentenbond zet rechtszaak tegen Google vanwege massaprivacyschending door Nieuws van 13 september 2023
Consumentenbond: ondanks telemarketingwet geen einde aan ongewenste telefoontjes
Consumentenbond: ondanks telemarketingwet geen einde aan ongewenste telefoontjes Nieuws van 31 augustus 2023
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten Nieuws van 16 mei 2023
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij Nieuws van 12 april 2023
Rechter: Facebook verwerkte onrechtmatig persoonsgegevens van Nederlanders
Rechter: Facebook verwerkte onrechtmatig persoonsgegevens van Nederlanders Nieuws van 15 maart 2023
Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek
Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek Nieuws van 1 maart 2023
Consumentenbond: gratis games zetten kinderen onder druk om aankopen te doen
Consumentenbond: gratis games zetten kinderen onder druk om aankopen te doen Nieuws van 24 november 2022
Rechter schrapt massaclaim Consumentenbond over prijs Philips-tv's
Rechter schrapt massaclaim Consumentenbond over prijs Philips-tv's Nieuws van 1 november 2022
Meer producten en artikelen
Beveiliging en antivirus Consument Consumentenbond Datalek

Reacties (55)

-Moderatie-faq
55
55
20
4
0
34
Wijzig sortering
Hexxagon 29 maart 2023 11:02
Kunnen consumenten vergoeding vragen mocht hun data lekken op straat?

Is toch raar dat we hun service gebruiken of product kopen en daarin zit verrekend onkosten voor security e.d.en dan worden ze toch gehacked (of ze gaan slecht om met je gegevens).
Kees BOFH @Hexxagon29 maart 2023 12:31
Het grootste probleem imo is dat de consument waarvan de data op straat ligt zelden degene is die de daadwerkelijke schade lijd. De gegevens kunnen misbruikt worden, maar het slachtoffer daarvan is dan vaak de persoon of het bedrijf dat word opgelicht; de originele consument heeft er vaak geen last van.

Om maar eens een voorbeeld uit de praktijk te halen; Stel dat er een gebruiker is met de naam 'SixSidedPolygon' die een wachtwoord hergebruikt op allerlei 'minder belangrijke' websites. Een van die websites word gehacked en het blijkt dat het wachtwoord eenvoudig te ontsleutelen is. De hacker heeft nu een usernaam en wachtwoord, en probeert dat op Google uit. Omdat in een heel ver verleden SixSidedPolygon ooit een account heeft aangemaakt voor Chrome, maar het toen geen belangrijke site vond en geen moeilijk wachtwoord heeft gekozen maar zijn 'standaard website wachtwoord' heeft gebruikt komt de hacker zijn account eenvoudig binnen. Daar staat een wachtwoordmanager, en nu heeft hij logins voor een heleboel websites.

Hij logt in op Tweakers en veranderd het mailadres van het account, Een paar minuten later verschijnen er allemaal advertenties op Tweakers 'Geforce 4080 GTi Pro vFX' voor maar €250 nieuw in de doos, nooit gebruikt, altijd in de gamepc gezeten van mijn oma'. Tientallen mensen sturen een bericht naar de fake 'SixSidedPolygon' en die krijgt een aantal mensen zo ver om geld over te maken. Ze mogen het product ook komen ophalen, maar hij woont op Terschelling, dus het is hun keuze om het te betalen en op te sturen. De gebruikers checken het account; zien dat het al 11 jaar bestaat, een redelijke post geschiedenis en een goede v&a rating heeft en maken het geld over. De enkeling die zegt dat hij het wel kan ophalen omdat hij ook op Terschelling woont krijgt te horen dat de kaart helaas net verkocht is.

De originele 'SixSidedPolygon' lijd geen enkele schade, behalve dat hij zijn account niet meer in kan en als dat weer lukt hij boze mensen in zijn inbox heeft die ook wel snappen dat hij er niets aan kan doen. De echte geldelijke schade word geleden door de mensen die zijn opgelicht, bovendien heeft die hacker nu ook hun echte naam en bankrekeningnummer. Maar wie moeten zij aansprakelijk stellen? De website die het ooit heeft gelekt is niet meer te achterhalen.

[Reactie gewijzigd door Kees op 22 juli 2024 22:31]

MennoE @Kees29 maart 2023 15:36
Zij kunnen de oplichter aansprakelijk stellen.
Kees BOFH @MennoE29 maart 2023 16:04
Ehm ja, uiteraard; de mensen die zijn opgelicht kunnen de oplichter aansprakelijk stellen.

Maar wat ik eigenlijk bedoelde te zeggen is dat degene waarvan de gegevens op straat liggen daar vrijwel nooit grote materiele schade door lijden en dat "Kunnen consumenten vergoeding vragen mocht hun data lekken op straat?" een erg lastige vraag is daardoor, want welke schade hebben ze nu geleden of kunnen ze lijden.
mr_evil08 @MennoE29 maart 2023 18:37
De oplichter aansprakelijk stellen die in een ver land zonder uitleveringsverdrag zit inderdaad, alsof je überhaupt kans maakt.
Tintel @Kees29 maart 2023 18:08
De originele 'SixSidedPolygon' lijd geen enkele schade
Dat is dus niet waar; zijn account is hij kwijt en hij heeft imago schade er bovenop. Dus hij zal weer 11(?) jaar moeten wachten voordat hij weer zo'n betrouwbaar imago heeft.

Dat identiteits diefstal ook gevolgschade die hij niet zelf ondervindt heeft is natuurlijk ook waar. Maar hoe meer van iemands identiteit wordt 'gestolen' - hoe groter de ellende voor die persoon.
Bijv. als uiteindelijk hij zijn Steam account kwijt raakt dan is deze wel degelijk ook zijn games kwijt.

En het weer terug krijgen van een account kost ook veel tijd - als het al lukt. Die kosten ben je ook kwijt.

Dus zomaar stellen dat vooral derden het slachtoffer zijn bij identiteits diefstal is niet waar denk ik.
jochemd @Hexxagon29 maart 2023 13:45
Je hebt recht om alle aantoonbare schade vergoed te krijgen. Sommige schade is makkelijk aan te tonen: de kosten voor een nieuwe creditcard of paspoort zijn redelijk eenvoudig met een factuur te bewijzen. Zaken als tijdsverlies doordat je accounts moet herstellen, instanties moet inlichten etc. alleen als jeaan kan tonen dat je de tijd die je daar aan besteed hebt niet aan betaalde arbeid hebt kunnen besteden en dus gederfde inkomsten hebt, wat een behoorlijk hoge drempel is. En het wordt al heel bijzonder als je kan bewijzen dat je door een lek bijvoorbeeld een baan bent misgelopen.
Er is in elk geval 1 geval waarbij iemand 2000 euro kreeg voor het uitlekken van een patientendossier, maar daar speelde mee dat er aangetoond kon worden dat de uitgelekte gegevens daadwerkelijk gebruikt werden.

Een algemene regel waarvij je na elk lek een betaald bedrag kan aftikken is er niet. Er ligt een zaak bij het Europees Hof die waarschijnlijk spoedig duidelijkheid gaat brengen, maar het ziet er niet naar uit dat het krijgen van een schadevergoeding makkelijker gaat worden.
Timmiejj @jochemd30 maart 2023 11:46
Hier ben ik het dus mee oneens.

Als ik de tijd van een bedrijf verdoe door bijvoorbeeld mijn rekening niet op tijd te betalen krijg ik allerlei kosten om m'n oren geslingerd omdat zij extra kosten maken doordat ze tijd aan extra administratie moeten besteden.

Waarom is mijn tijd gratis? Gederfde inkomsten of niet ik vind mijn tijd kostbaar en als de onkunde van een bedrijf mij tijd kost mag daar best wat tegenvoer staan.

En hoeveel zou dat dan moeten zijn? Ik weet het niet, misschien het gemiddelde uurloon X het aantal gecompromiteerde accounts waar je nu tijd in moet steken om deze weer veilig te maken.

Het moet bedrijven geld kosten, een dusdanige hoeveelheid dat ze eerst eens keer goed nadenken over of ze nu wel hun klantgegevens moeten delen met 3e partijen

Ik kreeg v.d. week ook een mail van de NS dat mijn gegevens mogelijk gelekt zijn via dat marktonderzoekbureau. Eerste wat ik me afvroeg, waarom moet de NS mijn gegevens uberhaupt aan een marktonderzoeksbureau geven.. Ze kunnen op basis van mijn OV chip precies zien welke van hun diensten ik wel en niet gebruik en waar ik naartoe reis. wat the fuck valt er nou nog te onderzoeken 8)7
lenwar
@Hexxagon29 maart 2023 11:47
Ik snap het gevoel, maar wat zou je er in de praktijk mee opschieten? (je data ligt toch al op straat, ongeacht of je er geld voor krijgt of niet). En wat zou een eerlijke vergoeding zijn?

Afhankelijk van de grootte van het bedrijf kunnen ze in één klap failliet zijn.

Moet je je is voorstellen dat alle mensen dan 500 euro krijgen. Tweakers.net heeft ongeveer 1.8 miljoen gebruikers (heb even vluchtig nummertjes ingevuld bij de profielen) Laten het er in de praktijk 1 miljoen zijn. Dat zou 500 miljoen euro zijn.
Heel de DPG media groep had in 2021 228 miljoen winst gedraaid. Daar zullen ze dan mogelijk niet failliet aan gaan, maar DPG media is natuurlijk wel een mammoetbedrijf. Als het om een kleiner bedrijfje zou gaan (of desnoods een uit de hand gelopen hobbysite) is dan natuurlijk ondoenlijk. En dan vervolgens stellen "Hadden ze maar beter hun best moeten doen" is natuurlijk wel heel kort door de bocht in dit soort zaken denk ik zo?

Edit: Typo

[Reactie gewijzigd door lenwar op 22 juli 2024 22:31]

HenkEisDS @lenwar29 maart 2023 12:23
Afhankelijk van de grootte van het bedrijf kunnen ze in één klap failliet zijn.
Daar is bij verwijtbare slechte security niets mis mee.

Als door jouw schuld records op straat zijn komen te liggen dan moet je verantwoordelijk gehouden worden voor de schade. Bedrijven moeten in hun businessmodel beveiligingsrisico's in kaart brengen en voldoende mitigerende maatregelen nemen. Als je dit niet wilt of kunt betalen EN de schade die kan voortvloeien uit het niet nemen van die mitigerende maatregelen ook niet, dan had je bedrijf überhaupt niet mogen bestaan.

En mitigerende maatregelen hoeven helemaal niet te betekenen dat je systeem onhackbaar wordt, onhackbaar bestaat volgens mij helemaal niet, maar wel dat een eventuele hack zo min mogelijk impact heeft. Bijvoorbeeld door oude gegevens te verwijderen, anonimiseren of offline en versleuteld in een kluis op te slaan.
lenwar
@HenkEisDS29 maart 2023 12:33
Daar is bij verwijtbare slechte security niets mis mee.
Misschien... Inderdaad bij 'verwijtbaar'. Maar dat is natuurlijk heel moeilijk om te bepalen. Er zijn uiteraard een aantal inkoppers (je root-account publiek toegankelijk maken met het wachtwoord 'nimda', maanden lang niet gepatched hebben van systemen die openlijk zeer kritieke security-fouten hadden, enz)

Maar veel van de 'hacks' zijn moeilijk aan te tonen of het 'echt verwijtbaar' is, of alleen onhandig/klungelig. Er is natuurlijk een belangrijke factor 'verantwoordelijk' maar verwijtbaar is natuurlijk wel weer gelijk een stap verder.

En buiten dat. Stel dat DPG media mijn voorbeeld niet zou overleven. Dan hebben er dus ook gelijk 6000 (aldus Wikipedia) mensen geen werk meer. Dat zijn dan minimaal 5950 mensen die niets met de security van het bedrijf te maken hebben, maar omdat onze e-mail adressen gelekt zijn, zijn zij wel hun baan kwijt met alle gevolgen van dien. (gechargeerd natuurlijk)

Zou jij het oké vinden als jij je baan verliest omdat iemand die jij net kent een fout heeft gemaakt?
CAPSLOCK2000
@lenwar29 maart 2023 12:48
Maar veel van de 'hacks' zijn moeilijk aan te tonen of het 'echt verwijtbaar' is, of alleen onhandig/klungelig. Er is natuurlijk een belangrijke factor 'verantwoordelijk' maar verwijtbaar is natuurlijk wel weer gelijk een stap verder.
Nee, die vlieger gaat niet op. Fouten maken is menselijk en daar hoor je dus rekening mee te houden. Ieder bouwvakker heeft een helm, veiligheidschoenen en is verplicht zichzelf vast te binden als erop hoge stijgers wordt gewerkt. We weten namelijk dat je fouten niet kan voorkomen. Je moet dus zorgen dat je een enkele fout geen fatale heeft (of dat in ieder geval zo moeiiljk mogelijk maken).
Zou jij het oké vinden als jij je baan verliest omdat iemand die jij net kent een fout heeft gemaakt?
Dat kun je zeggen over 99% van de bedrijven die failliet gaat.

Shit happens en daar moet je op voorbereid zijn zodat je de gevolgen kan dragen. Er is altijd iemand die voor de gevolgen moet opdraaien. Als het niet het bedrijf is dan is het de klant. Als de klant de kosten draagt dan kan hoeft dat bedrijf het niet te doen en zijn ze dus goedkoper dan de concurrentie die het wel goed doet. Zo beloon je slecht gedrag. Dat wordt al snel een negatieve spiraal op zoek naar het absolute minimum verantwoordelijkheid.

Het lijkt heel sympathiek om fouten te vergeven maar zakelijk gezien bestaat vergeven niet, alleen de vraag wie er moet betalen.
deniz280 @CAPSLOCK200029 maart 2023 13:43
"absolute minimum verantwoordelijkheid." Exact. bedrijven zien dit mooi voorbeeld al in Den Haag en volgen het rustig mee qua bestuurscultuur binnen een bedrijf.
bzzzt @lenwar29 maart 2023 12:44
De meeste mensen die hun baan verliezen hebben daar niet om gevraagd. Als ik zou zien dat het bedrijf waar ik werk wetten en best practices met de voeten treedt en er om vraagt beboet te worden werk ik direct mijn CV bij...

Wat betreft datalekken: als een bedrijf er voor kiest om een enorme hoeveelheid gegevens op een plek te beheren (uit kostenoverwegingen, gemak of om andere redenen) geeft dat risico's op een boete bij lekken. Die risico's kunnen verzekerd worden. De hoogte van de premie zou dan door verzekerings experts kunnen worden afgestemd op de hoeveelheid maatregelen die er genomen zijn om de kans op lekken te beperken.
Er hoeft dan niemand failliet te gaan, maar er is in ieder geval een 'sterke motivatie' om, als een bedrijf groeit, ook de maatregelen tegen lekken te laten groeien.
HenkEisDS @lenwar29 maart 2023 13:01
Dat iets moeilijk te bewijzen valt betekent niet dat je de aansprakelijkheid maar moet wegnemen.

En nee, natuurlijk zou ik het niet OK vinden als ik mijn baan zou verliezen doordat managers verkeerde beslissingen hebben genomen. Maar laat ik hem omdraaien: zou jij het OK vinden als jouw werkgever door verwijtbaar handelen een enorme milieuramp veroorzaakt en daar niet verantwoordelijk voor wordt gehouden?

Als een bedrijf failliet gaat dan vind ik het prima dat dit bedrijf genationaliseerd wordt om zo de eigenaren grote verliezen te laten lijden zonder dat het personeel hier de dupe van wordt.
SunnieNL @lenwar29 maart 2023 13:53
Bij steeds meer zaken is het niet meer zo moeilijk aan te tonen. Het bedrijf moet kunnen aantonen dat ze goede cyberhygiene hanteren en dat ook regelmatig laten auditen. Kunnen ze dat niet, dan is dat op zich verwijtbaar gedrag, want dan hebben ze blijkbaar hun processen niet eens op papier staan.

Afhankelijk van welke gegevens er op straat terecht komen, is een schade vergoeding of het leveren van een identiteitsverzekering best een reële optie. Sony heeft die voor mij in het verleden ook al eens betaald en geregeld.

Straks met de NIS2 in de wetgeving is management zelfs hoofdelijk aansprakelijk voor zulke zaken en daar gaan meer bedrijven ondervallen dan je aanvankelijk denkt. Supplychain van primaire en belangrijke bedrijven worden namelijk meegenomen in die wetgeving.
Pieter_621 @HenkEisDS29 maart 2023 13:17
Dat is de Amerikaanse aanpak: zoveel mogelijk kunnen claimen in rechtszaken. Of met individueel enorm hoge bedragen, of class action massaclaims. Dat heeft niet alleen failliete bedrijven tot gevolg, maar ook veel andere gevolgen: het indekken van bedrijven in enorme stapels voorwaarden en waarschuwingen, torenhoge verzekeringspremies voor bedrijven, enorme risk-averseness bij bedrijven, hoge juridische kosten. En louche partijen die onzinnige rechtszaken beginnen omdat er kans is dat ze daar veel geld mee verdienen. Dat zie je hier nu een beetje ontstaan met dat GGD-datalek. De consumenten helpt het eigenlijk niet, die krijgen een keer een paar honderd euro met zo'n claim. In dit geval ook nog eens geld afkomstig van het zorgbudget. Moet je dat nou willen als maatschappij?
Dan kan je volgens mij toch beter een overheid hebben die fatsoenlijke regels opstelt, en een toezichthouder met genoeg capaciteit.
HenkEisDS @Pieter_62129 maart 2023 14:18
enorme risk-averseness
Dat is het gewenste resultaat inderdaad. Bedrijven die bewust met de risico's omgaan van het opslaan van persoonsgegevens.

Verder sluit het één het ander niet uit: De overheid moet inderdaad strengere regels opstellen en beter handhaven, maar dat neemt niet weg dat organisaties die schade veroorzaken dit moeten herstellen.
slaay @Hexxagon29 maart 2023 11:39
Vragen kan altijd, maar of je het krijgt is een tweede.

Daarnaast hoe ga je aantonen dat ze niet correct gehandeld hebben en er niet alles aan hebben gedaan om jouw gegevens zo goed als mogelijk te beschermen?
En hoe druk je het lekken van jouw gegevens uit in geld? Want is dat 10 euro of is dat 1000 euro?

En tenslotte gelekte gegevens hoeft niet altijd te betekenen dat je gegevens ook daadwerkelijk zijn of worden misbruikt.
bzzzt @slaay29 maart 2023 12:48
Lekkere dooddoener. Mijn emailadres is een paar jaar terug gelekt door een leverancier van mijn garage en heb ondertussen op dat (gelukkig specifiek voor dat bedrijf aangemaakte) adres al heel interessante (meestal flauwekul, soms geraffineerde) pogingen langs zien komen mij accounts, computer of geld afhandig te maken.
Nee, ik heb geen schade gehad, maar de tijd die ik er aan kwijt ben is ook iets waard en als ik er wel ingetrapt zou zijn had ik wel schade gehad die ik anders niet zou hebben.

Ik ben wel voorstander van een minimumvergoeding. Hoeft niet echt veel te zijn want het kost mij verhoudingsgewijs ook niet veel maar dit soort clubjes moeten echt hun spullen op orde krijgen.
Anonymoussaurus
@Hexxagon29 maart 2023 11:03
Ja, er bestaat een aantal organisaties waar consumenten zich kunnen aansluiten voor massaclaims. :)
WillySis @Hexxagon29 maart 2023 16:49
Nee.
Er is geen wet die dat regelt. Data heeft voor de wet ook nog steeds geen waarde. Het eisen van een schadevergoeding gaat daardoor ook niet.

Als je aanwijsbaar schade hebt geleden ten gevolge van een datalek kan je de schade (met overleg van de bonnetjes) mogelijk verhalen, maar dan moet je wel kunnen bewijzen dat het betreffende bedrijf nalatig is geweest bij de beveiliging van de gegevens. De datalekken zitten vaak in de gebruikte software en dan wordt het aantonen van nalatigheid nagenoeg onmogelijk. Als je de schade op het software bedrijf wilt verhalen wordt je eis vermoedelijk niet ontvankelijk verklaard omdat je geen directe relatie met dat bedrijf hebt.

Over dit onderwerp is (zover) ik weet nog geen jurisprudentie.
Firen 29 maart 2023 11:29
Los van dat bedrijven veel consumenten niet / niet volledig informeren over datalekken zijn er ook nog tal van bedrijven die amper melding maken van datalekken bij het AP.
Ik ben de laatste tijd meerdere hosters / ISP's en zelfs een ziekenhuis tegengekomen (NAW + BSN + afspraak gegevens) die hier niet goed mee omgaan.

Dat bedrijven dit niet goed op orde hebben, is kwalijk maar ergens kan ik er begrip voor opbrengen gezien de commerciële belangen die gemoeid gaan met een goede naam hebben al ben ik er van overtuigd dat transparantie altijd de juiste manier van handelen is tijdens een datalek. Persoonlijk val ik veel meer over de overheidsinstanties die dit blijkbaar ook niet op orde hebben en waarmee een verkeerd voorbeeld word gegeven.
SunnieNL @Firen29 maart 2023 13:49
Ik denk dat het kwalijker is voor bedrijven als ze het niet melden en het zo in het nieuws komt omdat er door het niet melden een phishing bij een klant is gelukt en die zo voor 1000den euro's het schip in ging of klanten op andere sites ineens gehacked worden omdat ze daar dezelfde inlog gebruiken.
Als dat herleid wordt naar jouw hack heeft dat commercieel gezien een groter probleem.

Je kunt het een hack/datalek ook omdraaien. Door het te melden en er open over te zijn leren consumenten en andere bedrijven er van. Er zijn meerdere voorbeelden hoe dat positief gebracht kan worden, zoals bij de universiteit van maastricht en Hoppenbrouwers (https://www.hoppenbrouwerstechniek.nl/boek-hack/)
Anoniem: 84997 @Firen29 maart 2023 13:40
Eens met de kritiek, maar afgelopen jaren is er wel een heel groot bewustzijn ontstaan, en zie je ook bijna altijd de wil om het juist te doen.

Enige waar ik merk dat het wel eens schuurt is service bieden, als data al weggegooid/geanonimiseerd moet worden.

Waar het nog wel eens fout gaat is onwetendheid en bij kleinere klanten soms budget.
ofc @Firen29 maart 2023 14:35
... en zelfs een ziekenhuis tegengekomen (NAW + BSN + afspraak gegevens) die hier niet goed mee omgaan
In de zorg mag inderdaad wel wat verbeterd worden. De huisarts van mijn moeder stuurde ouderwetse post met op het adreslabel naast de gebruikelijke NAW gegevens ook haar BSN, geboortedatum, patientnummer en telefoonnummer...
Aldy @Firen29 maart 2023 15:44
Ja, dit zijn de bedrijven die lekken bij het AP gemeld hebben. Ik vraag mij af hoeveel bedrijven en organisatie helemaal niets melden. Want ook bij een fysieke diefstal kunnen fysieke persoonsgegevens buitgemaakt worden.
Loggedinasroot 29 maart 2023 10:58
Hier in ieder geval een overzicht(los van dit artikel):
https://www.datalekt.nl/
lenwar
@Loggedinasroot29 maart 2023 11:17
Nou ja.
Dat zijn de incidenten die in een zekere mate in de media zijn gekomen. Dit is geen officiële lijst.
Welkom op de website DataLekt. Hier vindt u een overzicht van alle cyberincidenten bij in Nederland gevestigde organisaties die in de media zijn terecht gekomen.
Mario88 29 maart 2023 11:10
Op een internationaal niveau kan men ook kijken of de email bij www.haveibeenpwned.com voorkomt. Zo kwam ik er bijvoorbeeld achter dat mn zooi op straat lag door Hyves(jeetje wat gaat de tijd snel)
kodak
@Mario8829 maart 2023 11:31
Dat is handig, maar neemt de problemen die geconstateerd zijn niet weg. Dit soort handigheid is namelijk niet verplicht, niet compleet en legt de verantwoordelijkheid niet bij wie er wettelijk voor horen te zorgen controle te hebben over de persoonsgegevens en duidelijk, op tijd en volledig te informeren en maatregelen te nemen.
Het is echt tijd dat al die bedrijven en organisaties aangepakt worden op hun kennelijke laksheid om de wet en andermans rechten te respecteren. Wat de consumentenbond hier doet is wat de toezichthouder al jaren had moeten aanpakken. Maar deze lijkt samen met de bedrijven en politiek vooral gericht op stelselmatig overtredingen toe staan en zo min mogelijk afstraffen om geld te verdienen en te besparen op kosten van de slachtoffers.
Firen @kodak29 maart 2023 11:37
Volgens mij ga je hiermee voorbij aan de geschiedenis van het AP. Sinds de oprichting van het AP geeft ze aan te weinig handen te hebben om de controle van de AVG goed uit te kunnen voeren en dat staat nog los van de openstaande urgente meldingen.

Imo is dit echt te wijten aan een regering die zich niet druk lijkt te maken over de praktische uitvoerbaarheid van haar beleid. Volgens mij is hier ruimte voor bijvoorbeeld het CIPP om een rol te pakken en zich op te werpen als semi onafhankelijke partij waar je terecht zou kunnen als whistleblower wanneer een bedrijf op een onjuiste manier omspringt met datalekken / meldingen van gebruikers.
kodak
@Firen29 maart 2023 13:43
De toezichthouders maken zelf ook keuzes om budget te besteden. Die keuzes liggen nauwelijks bij onderzoek en handhaven. Dus afschuiven op alleen de regering is te makkelijk. Het is een combinatie van keuzes met geen prioriteit voor onderzoek en handhaven hebben en vooral af te schuiven dat slachtoffers en verdachten het onderling maar proberen op te lossen.
Orangelights23 @Mario8829 maart 2023 11:36
Aanvullend werken ze ook met telefoonnummers. Alhoewel email en telefoonnummer niet heel gevoelig zijn, geeft het wel een goede indicatie.
Frame164 29 maart 2023 11:34
Vraagje aan de mensen op het tweakersforum, puur uit interesse: wat is het beleid van het bedrijf waar jullie werken mbt datalekken?
Firen @Frame16429 maart 2023 11:41
Check vooral eens op de websites van NLse bedrijven of je een /.well-known/security.txt kunt vinden of een responsible disclosure of cvd.

Mijn ervaring is dat het hiermee bedroevend slecht gesteld is, als dit soort zaken aan de "voorkant" van een bedrijf al niet geregeld zijn kan ik me niet voorstellen dat er vervolgens een compleet draaiboek ligt.

[Reactie gewijzigd door Firen op 22 juli 2024 22:31]

McBacon @Firen29 maart 2023 13:22
.well-known* :D
Firen @McBacon29 maart 2023 17:38
tnx :)
CAPSLOCK2000
@Frame16429 maart 2023 12:52
Vraagje aan de mensen op het tweakersforum, puur uit interesse: wat is het beleid van het bedrijf waar jullie werken mbt datalekken?
Eigenlijk heel simpel: volg de wet.
Als er mogelijk sprake is van een datalek dan schakel je de Functionaris Gegevensbescherming in.
Die beslist of het nodig is om melding te doen bij de AP en/of de gebruikers te informeren.

Als de FG te vaak aangifte moet doen dan gaat de FG klagen bij de directeur die dan (misschien) beslist dat er extra beveilingsmaatregelen nodig zijn.
Groningerkoek @Frame16429 maart 2023 14:10
Ligt eraan wat er wordt gelekt. Gaat het alleen om personeelsgegevens dan kun je weinig anders doen dan informeren en het lek dichten. Maar gaat het om inloggegevens van onze klanten dan worden er desnoods midden in de nacht een hele hoop mensen uit bed gebeld omdat wij onderhoud/techniek verzorgen voor een hoop bedrijven waarvan een paar tot de grote industriële complexen behoren in Nederland die 24/7 draaien waarbij verstoringen in het proces levensgevaarlijk en vreselijk duur kunnen zijn, dit kan nooit meer dan 1 bedrijf zijn omdat er voor gekozen is inloggegevens alleen bij die mensen neer te leggen die ook daadwerkelijk bij zo'n fabriek draaien (niemand draait 2 fabrieken tegelijk) en geen centraal beheer te voeren want dat kan alleen maar fout gaan.
locke960 @Frame16429 maart 2023 18:07
De primaire richtlijn is toch wel geen data te lekken :+
Peter Kulche 29 maart 2023 12:02
Onderaan het persbericht van de Consumentenbond staat een link naar het artikel dat wel alle organisaties noemt die in de steekproef zijn betrokken: https://www.consumentenbo...nformeerd-over-datalekken
B Tender 29 maart 2023 12:37
Inmiddels, na duizenden en duizenden datalekken, ontgaat de toegevoegde waarde van zo'n mededeling 'beste meneer, u zit in ons datalek, sorry en succes' me een beetje.

Inmiddels mag of moet je er (omdat er al duizenden datalekken zijn waarin bij elkaar vele miljarden informatievelden gestolen zijn), wel van uitgaan dat er ergens een profiel van je rondzweeft met naam/adres/mail/IBAN, en moet je je gedrag hier zo goed en kwaad als kan op aanpassen. Een (zoveelste) mededeling dat je in (zoveelste) een datalek bent betrokken is alleen een (zoveelste) bevestiging hiervan.

Wat moeten de mensen die laatst medegedeeld zijn dat ze bij het NS-klantonderzoek-lek zaten of bij een willekeurig ander lek nu concreet doen. Ik denk dat 98% de schouders ophaalt, even moppert, en doorgaat met zijn leven. Een klein deel gaat misschien z'n ns-klantonderzoek-wachtwoord wijzigen (voor zover dat niet al afgedwongen is) maar dat is het dan wel. Je kunt moelijk je adres of IBAN gaan wijzigen na elk lek.

De 'mededeling' ansich brengt dus weinig toegevoegde waarde tegenwoordig in mijn ogen. Natuurlijk: je gaat vaak pas actie ondernemen als je doorhebt dat actie nodig is (de mededeling) maar de 'actie' die volgt op de mededeling is bij de gemiddelde Nederlander (niet de gemiddelde tweaker) in de regel denk ik heel beperkt.

[Reactie gewijzigd door B Tender op 22 juli 2024 22:31]

gielie 29 maart 2023 12:56
Hier nog een, Vodafone/ziggo, niet de minste, met een veel grotere klanten bestand dan de NS
https://www.nu.nl/tech/62...bij-marktonderzoeker.html
Bas_f @gielie29 maart 2023 13:30
Dat is een lek bij een leverancier van Blauw, niet bij Vodafone/Ziggo.
Groningerkoek @Bas_f29 maart 2023 14:03
Het gaat om klanten van Vodafone/Ziggo, dat men besluit dit bij Blauw onder te brengen veranderd daar niets aan, het is de verantwoording van Vodafone/Ziggo om klanten hierover goed te informeren.
Polderviking 29 maart 2023 14:08
Ik snap de hele waarde van die kennisgeving niet meer zo moet ik zeggen, buiten dat je je als bedrijf waarschijnlijk wil verontschuldigen naar je klanten natuurlijk.
Volume van dit soort incidenten is gewoon te hoog en hoort inmiddels bij het dagelijks leven.
En dat ben je een week later ook geheid weer vergeten.

Meldpunten als haveibeenpwned lijken me veel doelmatiger te werken.
Als je daar een ping van krijg moet je concreet wat met wachtwoorden enzo.

Dat je email adres of naam ergens is uitgelekt kan je verder geen drol mee en alertheid op phishing moet een modus operandi zijn.
En als je de formulering van die mails overlaat aan diezelfde bedrijven mag het natuurlijk geen verassing zijn dat daar veel PR praat in zal staan.

[Reactie gewijzigd door Polderviking op 22 juli 2024 22:31]

swhnld 29 maart 2023 14:27
Ik lees dat de Consumentenbond met het vingertje wijst, ze doen het niet goed.
Maar leveren ze ook een voorbeeld hoe het wel moet?
Groot probleem is hoe je de boodschap begrijpbaar bij leken krijgt zonder paniek te veroorzaken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq