'Nederlanders moeten aannemen dat hun gegevens ooit zijn uitgelekt'

Nederlanders moeten aannemen dat hun persoonsgegevens ooit zijn uitgelekt. Dat zegt de Autoriteit Persoonsgegevens in zijn jaarlijkse datalekrapportage. Het overgrote deel van de gemiddeld 20.000 datalekken per jaar komt uit de zorg.

De Nederlandse privacytoezichthouder ontving vorig jaar 21.151 datalekmeldingen, wat de AP overigens ook al in haar jaarverslag schreef. In de jaarlijkse datalekrapportage gaat de toezichthouder dieper in op de cijfers rondom datalekken, die in Nederland het hoogst liggen van heel Europa. In geen ander land worden zoveel datalekmeldingen gedaan als in Nederland, wat AP-voorzitter Aleid Wolfsen toeschrijft aan de hoge mate van digitalisering in Nederland.

De AP waarschuwt in het rapport dat vrijwel iedere Nederlander slachtoffer is of nog wordt van een datalek. "Ga ervan uit dat er al eens persoonlijke gegevens van je gelekt zijn, of dat dit nog gaat gebeuren", schrijft de toezichthouder, die dat opvolgt met enkele concrete tips, zoals het instellen van unieke wachtwoorden en het aanvragen van een nieuw identiteitsbewijs. De toezichthouder geeft geen specifieke cijfers over het aantal individuele Nederlanders dat in een datalek zou zijn voorgekomen. Dat kan ook niet, omdat de toezichthouder geen datasets ontvangt of kan onderzoeken.

Zorg en politie

Maar liefst 41 procent van de datalekken vond plaats in de zorg. Nog eens 23 procent van de datalekken is volgens de AP afkomstig uit 'het openbaar bestuur'. Dat kunnen ook (semi)overheidsinstellingen zijn, zoals het UWV, dat jaarlijks datalekken meldt in zijn jaarverslag. Het aantal datalekken bij de politie steeg met elf procent ten opzichte van vorig jaar, schrijft de AP, hoewel datalekmeldingen bij de politie slechts vier procent van het totale aantal meldingen bevat.

In de meeste gevallen zijn de datalekken kleinschalig. In 2022 ging het in meer van de helft van de gevallen om een verkeerd bezorgde brief of e-mail met daarin persoonsgegevens van een andere klant, burger of patiënt. De grootste schade ontstaat bij incidenten die minder voorkomen. Zo werden 1825 meldingen van hacks zoals ransomware gedaan waarbij persoonsgegevens werden gestolen, maar daarbij worden meestal wel gegevens van veel slachtoffers buitgemaakt.

Onderzoeken

De AP begint nog steeds geen onderzoeken naar datalekken die niet gemeld zijnNaar aanleiding van de datalekmeldingen is de AP in 35 gevallen een onderzoek begonnen. Dat betreft dan een officieel onderzoek, waarbij de AP gedetailleerd uitzoekt wat er is gebeurd en waarbij een eventuele sanctie kan worden opgelegd. Hoe vaak dat gebeurd is, is niet bekend. In nog eens 6552 gevallen werd 'verdiepend toezicht' ingesteld, waarbij de AP wat meer informatie vraagt en eventueel een aanbeveling doet. In de overige 15.000 gevallen ondernam de AP 'na een eerste beoordeling geen verdere actie'.

De Autoriteit Persoonsgegevens is nog steeds geen officiële onderzoeken begonnen naar datalekken die niet gemeld zijn, ondanks een eerdere belofte van de toezichthouder dat wel te gaan doen. De AP wil meer van zulk 'ambtshalf' onderzoek gaan doen, maar heeft daar de menskracht niet voor en gaat daarom voornamelijk achter datalekken aan die wel gemeld worden. In 2022 kreeg de AP 2000 tips van burgers over mogelijke datalekken, waarna ze in 35 gevallen navraag deed bij het bedrijf. In al die gevallen meldde het bedrijf het datalek dan zelf ook.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-06-2023 07:53 159

06-06-2023 • 07:53

159

Lees meer

Vijf jaar AVG

27 mei 2023

Vijf jaar AVG

Goede wet, maar waar blijft toch de handhaving?

81
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen Nieuws van 21 maart 2025
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
NOS: UWV wist al veel langer dan gedacht dat trackingcookies illegaal waren
NOS: UWV wist al veel langer dan gedacht dat trackingcookies illegaal waren Nieuws van 3 augustus 2023
NOS: cookies van UWV trackten niet-ingelogde bezoekers langer dan gedacht
NOS: cookies van UWV trackten niet-ingelogde bezoekers langer dan gedacht Nieuws van 26 juli 2023
UWV verzamelde jarenlang onrechtmatig gegevens van websitebezoekers
UWV verzamelde jarenlang onrechtmatig gegevens van websitebezoekers Nieuws van 16 juli 2023
Pro-Russische groep viel websites Nederlandse havens aan met ddos-aanvallen
Pro-Russische groep viel websites Nederlandse havens aan met ddos-aanvallen Nieuws van 14 juni 2023
Shell erkent datalek onbeschermde klantengegevens Recharge-laadpalen - update
Shell erkent datalek onbeschermde klantengegevens Recharge-laadpalen - update Nieuws van 9 juni 2023
Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten
Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten Nieuws van 23 mei 2023
Nederlandse overheden voegden slechts acht algoritmes toe aan algoritmeregister
Nederlandse overheden voegden slechts acht algoritmes toe aan algoritmeregister Nieuws van 22 mei 2023
AP behandelde minder privacyklachten door minder telefonisch bereikbaar te zijn
AP behandelde minder privacyklachten door minder telefonisch bereikbaar te zijn Nieuws van 17 mei 2023
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten Nieuws van 16 mei 2023
AP is bezorgd over onafhankelijkheid van privacytoezichthouder van Amsterdam
AP is bezorgd over onafhankelijkheid van privacytoezichthouder van Amsterdam Nieuws van 8 mei 2023
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens

Reacties (159)

-Moderatie-faq
159
157
62
1
0
88
Wijzig sortering
DaWizza 6 juni 2023 07:58
Hoe kan dat dan? Instellingen hebben een meldplicht naar hun klanten als er een lek geweest is. Ik heb nooit iets gehad dus is er bij mij niets gelekt. /s
samo @DaWizza6 juni 2023 08:41
Het lek kan zijn van:
- voor de AVG van kracht werd en dus de meldplicht aanwezig was
- bij partijen die niet binnen de AVG zone gevestigd zijn, en dus minder geneigd zijn die melding te maken
- bij partijen die ontkennen dat dit een lek is
- bij partijen die zich niet aan de regels houden
AuteurTijsZonderH Nieuwscoördinator @samo6 juni 2023 13:07
- voor de AVG van kracht werd en dus de meldplicht aanwezig was
In Nederland gold voorafgaand aan de AVG al de Meldplicht Datalekken
- bij partijen die niet binnen de AVG zone gevestigd zijn, en dus minder geneigd zijn die melding te maken
Irrelevant, de AVG is van toepassing op Nederlandse gebruikers. Dus als een bedrijf uit Bangladesh data van een Nederlander lekt, moeten die Bengalen het Nederlandse slachtoffer inlichten.

De meldplicht geldt overigens sowieso richting de toezichthouder. Het slachtoffer moet alleen worden ingelicht als er gevoelige data is gelekt. Van de site van de AP:
U hoeft de slachtoffers alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

[Reactie gewijzigd door TijsZonderH op 22 juli 2024 15:04]

Sebbo @TijsZonderH6 juni 2023 16:32
[...]
In Nederland gold voorafgaand aan de AVG al de Meldplicht Datalekken
Dat klopt, maar de Wbp legde enkel verplichtingen op aan bedrijven in Nederland, bedrijven buiten Nederland die (technische) middelen in Nederland gebruikte. Met andere woorden: een Amerikaans bedrijf zonder link met Nederland, die persoonsgegevens verwerkte van een Nederlander, had geen meldplicht o.b.v. het Wbp.
HighVoltage @TijsZonderH7 juni 2023 07:12
Misschien wat naïef om te denken dat een bedrijf uit Bangladesh of Amerika wat dat betreft weet wat de AVG regels zijn hier en enige motivatie hebben om ook daadwerkelijk melding te doen richting het slachtoffer/toezichthouder. Als het verplicht is, wie handhaaft dit dan buiten de grenzen van de EU? Iemand in Nederland kan makkelijk een account ergens aanmaken in een ander land, moet elk bedrijf in elk land zich dan houden aan Nederlandse regels, als het om een Nederlands slachtoffer gaat?

[Reactie gewijzigd door HighVoltage op 22 juli 2024 15:04]

player-x @TijsZonderH7 juni 2023 08:01
Irrelevant, de AVG is van toepassing op Nederlandse gebruikers. Dus als een bedrijf uit Bangladesh data van een Nederlander lekt, moeten die Bengalen het Nederlandse slachtoffer inlichten.
Niet geheel waar, als die Bengalen een website gericht die op nationaal/regionaal bezoekers, en in hun TOS opnemen, dat ze alleen aan lokale wetgeving voldoen.

Veel geluk met het winnen van je rechtszaak, zelfs als Bengaalse rechters in eerste instantie EU-wetgeving accepteren als rechtsgeldig in Bangladesh.
mac1987 @samo6 juni 2023 09:27
En niet onbelangrijk: bij partijen die het niet door hebben gehad en/of zich er niet van bewust zijn geweest
nils7 @mac19876 juni 2023 09:37
Ja maar als het dan gemeld wordt gaan wel de scenario's van Samo lopen.
VySio @mac19876 juni 2023 12:35
Een datalek is soms een heel groot woord voor iets heel kleins.

Officieel mogen wij intern niet eens emailen als er klantgegevens in de email staan. Als wij een printje maken waar klantgegevens op staan dan moet dit hierna versnipperd worden.
Als een product op naam opgehaald en betaald wordt door een ander dan mag je officieel de factuur met naam niet meegeven.

Officieel moet er een datalek gemeld worden als dit geschonden wordt.

Ik ben dus wel benieuwd of deze gevallen ook meetellen met de statistiek.

[Reactie gewijzigd door VySio op 22 juli 2024 15:04]

osmosis @samo6 juni 2023 12:00
-bij partijen die doodleuk hun oude server langs de kant van de weg zetten inclusief schijven zonder enige vorm van encryptie


(serieus meegemaakt al, gelukkig voor hun ben ik geen kwaadaardig persoon)

Server in kwestie stond vol met bankrekening gegevens en kopieën van ID/Rijbewijs.
Was van een uitzendbureau.

[Reactie gewijzigd door osmosis op 22 juli 2024 15:04]

Waterbeesje @osmosis6 juni 2023 12:36
-bij partijen die doodleuk hun oude server langs de kant van de weg zetten inclusief schijven zonder enige vorm encryptie
(...)
Same here, maar dan met oprecht verkochte systemen. Ik koop wel eens wat retro / vintage spulletjes van handelaren die er geen kant mee op kunnen (leeftijd rond millennium). Vaak zit daar nog een HDD in en na het schoonmaken van het systeem, bij het zorgvuldig testen van individuele componenten, hang ik de harde schijf aan een ander systeem voor een grondige test / wipe. Hoe vaak er geen klantbonnen / NAW direct op de C-schijf staan... ook al is het uit de tijd dat we nog een 9-cijferig telefoonnummer hadden, niet heel netjes.

Technisch gezien is het een datalek, maar goed... na een wipe weet niemand er meer iets van :')
(8-phase wipe haalt deze dan netjes grondig weg EN is gelijk een test voor de HDD)
mad_max234 @samo6 juni 2023 09:56
- Partijen die niet eens doorhebben dat ze gehackt zijn.
Oon @DaWizza6 juni 2023 08:34
Die meldplicht zegt ook niets meer dan dat ze het moeten melden, als in hun voorwaarden staat dat alleen hun eigen website een officieel communicatiekanaal is dan is dus een bericht plaatsen ergens op hun website al 'melden'
Het.Draakje @Oon6 juni 2023 09:00
In de Algemene verordening gegevensbescherming (AVG) staat dat een datalek gemeld moet worden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'.

Een berichtje op een website is niet conform de meldingsplicht ongeacht wat een bedrijf in zijn voorwaarden zet. (Algemene) voorwaarden van een bedrijf gaan nooit boven de wet.
Zoop @Het.Draakje6 juni 2023 09:53
Maar voor melden naar de klant toe wel.
Dus je meld het bij het AP, en zet een berichtje op je site erover.

Hoe komt je hier als consument achter? Moet je hopen dat je toevallig een artikel erover leest in het nieuws, maar anders? Doet het AP die melding dan? Volgens mij niet.
bw_van_manen @Oon6 juni 2023 10:34
Dat mag niet van de AVG. Alleen als het onmogelijk is om te bepalen aan wie je het moet melden, bijvoorbeeld wanneer een hacker je hele database met contactgegevens versleuteld heeft, mag je een algemene melding doen via je website en/of social media. Als een bedrijf wel een datalek heeft met jouw data en jou niet benadert dan is dat dus een overtreding die je kan melden bij de AP. Het probleem is natuurlijk dat je er heel moeilijk achter komt of dit ooit gebeurt is.
The-Source @DaWizza6 juni 2023 08:17
Nou als ik de zin lees dat ze alleen achter de instanties aangaan die het melden. En de rest totaal links laten liggen onder de noemer geen capaciteit denk lijkt mij dat de drang om het te melden ook steeds minder gaat worden.
TheekAzzaBreek @The-Source6 juni 2023 11:28
Als er geen stevige sanctie volgt op het ontdekken van niet gemelde lekken: inderdaad.
Quintiemero @DaWizza6 juni 2023 08:45
Er is zeker niet altijd een meldplicht naar je klanten.
Duke of Savage @DaWizza6 juni 2023 09:56
Omdat bij verre na alles gemeld wordt. Genoeg situaties die stellen dat er een melding gedaan moet worden maar dat een 'c-e-ootje' van een klein of mk bedrijf het bagtaliseerd en het weigert te melden.
Dan zou er gesteld kunnen worden dat er een klokkenluider zou moeten opstaan, maar er zijn weinig mensen die zichzelf daar mee in de voet willen schieten.
FONfanatic @Duke of Savage6 juni 2023 13:02
Ze bagatelliseren het omdat ze denken dat dat imagoverlies te nemen valt zolang het lek niet aan de oppervlakte komt. Een soort risico-afweging waar de klant, leverancier, financierder enz. danig slachtoffer van kan worden.
Haay @DaWizza6 juni 2023 10:15
Als je ooit op je Whatsapp een scam bericht van het type "Hoi pap/mam, mijn mobiel is gestolen dus ik heb nu een ander nummer. Moet ter plekke bedrag X betalen vanwege problemen. Kun je dat even overmaken?" hebt ontvangen dan weet je dat jouw nummer in een datalek heeft gezeten.

Nieuwste scam is trouwens dat een random persoon in je Whatsapp opduikt die eerst vriendschappelijk een band probeert op te bouwen, aangeeft binnenkort als toerist Nederland wil bezoeken en suggereert om elkaar te ontmoeten. En dan het gesprek richting een lucratieve crypto investering (vanwege 'inside informatie') probeert te sturen waar jij als speciale vriend ook gebruik van mag maken.
Martijn033 @Haay7 juni 2023 10:11
Als je ooit op je Whatsapp een scam bericht van het type "Hoi pap/mam, mijn mobiel is gestolen dus ik heb nu een ander nummer. Moet ter plekke bedrag X betalen vanwege problemen. Kun je dat even overmaken?" hebt ontvangen dan weet je dat jouw nummer in een datalek heeft gezeten.
Nou, volgens mij worden dat soort teksten ook gewoon door bots verzonden aan hele reeksen nummers. Ik zie er geen 'bewijs' in dat jouw nummer in een gehackte dataset zit.
FONfanatic @DaWizza6 juni 2023 09:19
Ik betrapte ooit een snackbarketen erop dat ze hun SSL-certificaat van hun website hadden laten verlopen, wat een mogelijk datalek oplevert. Daar kun jij misschien als klant met je gegevens je veilig hebben gewaand.

De snackbarketen heb ik het gemeld. Ze losten het direct op en ontkenden vervolgens glashard dat er een lek was opgetreden. Gelukkig had ik mijn scanrapport nog, inclusief tijdstempel: er viel niets te ontkennen. Naar aanleiding van deze misdraging meldde ik het lek alsnog bij de AP, maar daar hoor je nooit iets op terug.
BramT @FONfanatic6 juni 2023 09:37
Dat is ook een zwaar overtrokken reactie als je het mij vraagt. Bij assessments doe je doorgaans kans * impact, en die lijkt me bij een verlopen ssl-certificaatje bij een snackbarketen vrij laag. Geen idee welke informatie er via die site verliep destijds, maar als dat een simpel contact-formuliertje is geweest waar hebben we het dan over.... (Ja, mailadres/telefoonnr/etc zijn ook persoonsgegevens, maar is van een andere orde dan bank- en medisch spul).

Als je dit letterlijk als 'lek' hebt gerapporteerd bij de AP dan snap ik wel dat ze daar niet eens op reageren. Een puntje van je beveiliging niet op orde hebben (hoe simpel/knullig ook) staat echt niet direct gelijk aan een daadwerkelijk datalek.
FONfanatic @BramT6 juni 2023 10:35
Mensen deden online bestellingen die ze lieten bezorgen. Ook bankrekeningen werden geregistreerd. Hoezo "zwaar overdreven"?
Ryen @FONfanatic6 juni 2023 11:00
En wat dacht je van de ongezonde eetgewoontes van de klanten :)
DonJunior @Ryen6 juni 2023 11:14
Je zet er een knipoog smiley bij, maar je hebt hier wel een valide punt. o.a. zorgverzekeraars kunnen absoluut iets met deze informatie. Niet dat ze zo illegaal hun informatie mogen verzamelen maar zeg nooit, nooit.
loki504 @DonJunior6 juni 2023 11:30
En dan is bij de verzekering bekend dat je friet heb besteld op 1-1-2022 en dan? Zolang ze niet alle bestellingen weten in alle omgevingen is er vrij weinig aan de hand.
CAPSLOCK2000
@loki5046 juni 2023 11:51
En dan is bij de verzekering bekend dat je friet heb besteld op 1-1-2022 en dan? Zolang ze niet alle bestellingen weten in alle omgevingen is er vrij weinig aan de hand.
Als we ééntje toelaten om lek te zijn dan moeten we het de rest ook toestaan en wie weet waar het eindigt. Dan weet de verzekering vroeg of laat inderdaad alle bestellingen in de buurt. Daar mogen ze misschien niets mee doen maar kom er maar eens achter wat er achter de schermen in hun computersystemen staat en wat er mee gedaan wordt.

Wat er niet is kan ook niet misbruikt worden, zorgen dat er geen data lekt is dus het belangrijkste.

Voor de duidelijkheid, het is op zich maar een kleine fout maar wel een fout die moet worden rechtgezet.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 15:04]

loki504 @CAPSLOCK20006 juni 2023 12:00
Ik ben het ook zeker met je eens dat het rechtgezet moet worden. Maar een verkopen ssl certificaat betekent niet dat je hele bestel geschiedenis op straat ligt.
FONfanatic @loki5046 juni 2023 12:43
Niet per definitie nee, maar toen ik wat door groef ...
DonJunior @loki5046 juni 2023 14:29
Dat zal inderdaad niet zo'n probleem zijn. Totdat ze zien dat jij structureel 1x per week friet haalt, maar ook 1x per week Pizza eet van de tent op de hoek. Daarbij zien ze ook dat jij bij de lokale super wekelijks een bak lasagna van 1 kilo koopt en 5 flessen cola.
Je snapt mijn punt hopelijk dat het niet gaat om "die ene keer dat jij een frietje haalt".
Het gaat hier om een data lek bij een friettent die als "mwoah da's niet zo'n probleem toch" wordt weggezet. En dat klopt, voor deze enkele datalek. Maar blijkbaar zijn er dus dermate veel datalekken geweest dat men mogelijk een heel profiel van jou kan opbouwen zonder dat jij het door hebt ofwel omdat je het niet weet ofwel vanwege laksheid "och die ene datalek van die ene friettent".
Daarmee doel ik uiteraard niet op jouw persoonlijk, maar ik hoop dat je dat begrijpt. ;)
iew @DonJunior6 juni 2023 16:00
Ik heb het jaren geleden al eens gezegd, we gaan naar een wereld toe zoals in de film 'Demolition man' is geschetst.
We zijn inmiddels al een heel eind op weg.
nullbyte @iew7 juni 2023 10:51
Da's prima, geweld is daar in zoverre uitgeband dat ze Wesley Snipes moeten ontdooien uit een cyrogevangenis om een vrij onschuldige leider van een ratburger etende, in het riool levende bende op te ruimen. De laatste moord is daar 100 jaar terug gepleegd. In combinatie met de hoge levensstandaard dat het meeste volk lijkt te hebben is dat nauwelijks een echte dystopie te noemen.
iew @nullbyte7 juni 2023 12:20
Je vergeet de enorme controlestaat in die film, dat wanneer je vloekt in je eigen huis er al een boete uit je muur komt roller in je woonkamer...
nullbyte @iew7 juni 2023 13:39
Das idd minder gewenst, de controlestaat zal ongetwijfeld de oorzaak zijn van het gebrek aan moordlust. Desalniettemin de afweging waard.
MaDMaRTiGaN648 @FONfanatic6 juni 2023 11:38
Omdat je verbinding nog steeds versleuteld is, ook al is het certificaat verlopen? Een verlopen certificaat betekent niet meteen dat je gegevens op straat liggen. Neemt niet weg dat het slordig is, maar geen zaak voor de AP lijkt mij.
PomPomPom @BramT6 juni 2023 11:11
Creditcard bestelling?
Doen we niet zo vaak in NL maar toch. Dan heeft de evt hacker ook meteen winst.
Martijn033 @PomPomPom7 juni 2023 10:08
Het kan goed zijn dat het certificaat van de website is verlopen, maar zodra je gaat betalen, kom je terecht op de beveiligde omgeving van de creditcardmaatschappij. Als die wel z'n zaken op orde heeft, is er echt heel weinig aan de hand, qua lekken.
Fido @FONfanatic6 juni 2023 09:40
Het feit dat een SSL certificaat is verlopen betekent nog niet dat er een lek heeft plaatsgevonden. Dat scanrapport zegt helemaal niets over een lek. Bovendien zegt SSL niets over veiligheid. Je verbinding tussen je browser en hun website is beveiligd, maar daar houdt het verder op.
nullbyte @Fido7 juni 2023 10:55
Het zegt wel degelijk wat over veiligheid. Al het netwerkverkeer is onversleuteld en onderweg simpel af te tappen met een packet sniffer en in klare tekst te bekijken.
Je verbinding tussen je browser en hun website is beveiligd
Je noemt nota bene zelf het woord "beveiligd".

[Reactie gewijzigd door nullbyte op 22 juli 2024 15:04]

Fido @nullbyte8 juni 2023 11:44
Nee, er is een wezenlijk verschil tussen veilig en beveiligd. Bijvoorbeeld: In elk geval chrome liet bij een SSL website het woord 'veilig' zien in het verleden. Bezoekers van veiligewebsite.ikwiljouwwachtwoordhebben.nl waanden zich veilig, want het stond er toch? Later is dit gewijzigd naar beveiligd. Veilig en beveiligd hebben 2 verschillende definities.

Als jij via aan beveiligde https verbinding jouw gegevens upload naar een server die vervolgens poort 23 open heeft staan met admin/admin om in te loggen. Waar is dan dat stukje veliigheid? Het zegt helemaal niets want er zijn een hele hoop randvoorwaarden aan de veiligheid van jouw gegevens.
Herko_ter_Horst @FONfanatic6 juni 2023 09:48
Je kunt ook overdrijven. Een verlopen SSL-certificaat is op zichzelf geen lek. Het zou in theorie een ingang kunnen bieden waardoor gegevens zouden kunnen lekken als die ingang misbruikt wordt. Zolang dat niet gebeurd is, is er ook geen reden om iets te melden.
FONfanatic @Herko_ter_Horst6 juni 2023 10:42
De AVG vermeldt nergens dat een zwakheid in de bescherming van datagegevens een klachtdelict is: het zijn allemaal zonder onderscheid strafbare feiten.

Iets anders is het dat er niet tot vervolging overgegaan wordt. De AP seponeert in feite veel, al kan het daar nog op terug komen aangezien vele zaken nog niet verjaard zijn en er geen officiële seponering is uitgevaardigd.
Xfade @FONfanatic6 juni 2023 11:26
Maar toch behandelt u het als een klachdelict.
Het verlopen van een SSL is geen strafbaar feit. Of u brabbelt of u verwoordt het slecht.
FONfanatic @Xfade6 juni 2023 12:51
Nee ik heb het erover dat ik het als ethisch hacker conform de richtlijnen het bedrijf het incident meldde, het bedrijf het trachtte te verdoezelen (ik had me snel er geregistreerd en kreeg geen mail erover binnen), waarop ik zowel het incident als wat erop volgde de AP meldde. Hoe die de melding inschatte krijg je als derde niet te weten. Dat zou bij een aangifte wel moeten gebeuren, maar er was geen feitelijk strafbaar iets mij persoonlijk aangedaan, dus was ik onmachtig aangifte te doen.
Herko_ter_Horst @FONfanatic6 juni 2023 11:45
Man, man, waar heb je het over? Er zijn toch geen gegevens gelekt? De snackbar heeft op basis van jouw melding passende maatregelen getroffen en z'n certificaat vernieuwd. Case closed.

Als het certificaat van een website verlopen is, krijg je als gebruiker sowieso een levensgrote waarschuwing in je browser. Alleen als je die zou negeren en toch door zou gaan, ben je mogelijk minder beschermd, omdat de authenticiteit van het certificaat dan niet gegarandeerd is (de verbinding is nog wel steeds versleuteld). Voordat dat een probleem is, moet er eerst nog een ander tussen gaan zitten om daar misbruik van te maken. Dat is hier allemaal niet aan de orde geweest.
FONfanatic @Herko_ter_Horst6 juni 2023 12:58
Dat zeg jij. Een MITM-attack blijft regelmatig onopgemerkt.

En over die waarschuwing in browsers gesproken, ik las laatst van nitwits dat ze elkaar onderling het advies gaven een minder om privacy zich bekommerende browser te gebruiken die niet waarschuwt voor http en verlopen SSL-certificaten. Je hebt geen idee ervan hoeveel (al dan niet door kwaadwillenden geveinsde en uitgebuite) naïviteit er online rond gaat.
RoestVrijStaal @Herko_ter_Horst6 juni 2023 18:08
Je kunt ook overdrijven. Een verlopen SSL-certificaat is op zichzelf geen lek.
Nee, maar het is een indicator dat de firma "laks" is met haar IT en dat er misschien "meer te halen valt" als er "afgetast" wordt.
WillySis
@DaWizza6 juni 2023 10:15
Ja, maar dat geldt binnen Europa. Als jouw gegevens buiten Europa liggen en daar lekken, dat geldt die meldplicht niet.
tedades 6 juni 2023 07:58
Alleen al mijn e-mail adres kwam al 9 keer voor in https://haveibeenpwned.com/
En die zou ik nog kunnen aanpassen; met mijn NAW gegevens gaat dat niet zo makkelijk.
theduke1989 @tedades6 juni 2023 08:11
Een domme vraag misschien.

Maar al mijn Gmail accounts zijn nooit gelekt als ik jouw site mag geloven. Maar mijn @chello.nl account meer meermaals. Betekent dit dat Gmail veel beter beveiligd is? Of kijk ik dit verkeerd?

[Reactie gewijzigd door theduke1989 op 22 juli 2024 15:04]

Chris7 @theduke19896 juni 2023 08:22
Zoals hier genoemd wordt, het gaat hier om inloggegevens bij website waarvoor je die e-mail als gebruikersnaam hebt gebruikt. En dus niet het wachtwoord van je e-mailaccount zelf (dat zou nog wel wat heftiger zijn als die lekt).

Maar goed, als je (zoals veel mensen) hetzelfde wachtwoord gebruikt voor LinkedIn bv. als voor je e-mail, dan maakt dat alsnog niet uit want zodra je gegevens zijn gelekt van één website wordt er geprobeerd op talloze andere website in te loggen met die gegevens. Daarom is het belangrijk overal een ander wachtwoord te gebruiken. En speciaal voor je e-mailaccount zou ik een extra stevig wachtwoord gebruiken (iets randoms van veel tekens uit een wachtwoordmanager bv.)
Herko_ter_Horst @Chris76 juni 2023 09:52
Iets randoms is niet nodig, iets langs wel. Om hem er nog maar een keer in te gooien: https://xkcd.com/936/

[Reactie gewijzigd door Herko_ter_Horst op 22 juli 2024 15:04]

DaWizza @theduke19896 juni 2023 08:14
Je inlog en ww zijn gelekt bij een bedrijf (gehackt, gejat, opzettelijk of per ongeluk, dat maakt niet uit.
Het ligt dus naan de veiligheid vd bedrijven waar je gegevens liggen. Dat kan elk bedrijf zijn die de heeft.

Daarmee proberen ze dan in te loggen op verschillende services (email, twitch, netflix, etc.) Het idee is: als het bij 1 werkt, werkt het misschien ook wel bij andere services.
Daarom altijd verschillende wachtwoorden gebruiken die niet op elkaar lijken.

[Reactie gewijzigd door DaWizza op 22 juli 2024 15:04]

FONfanatic @DaWizza6 juni 2023 09:24
En ook de inlogcode van je SIM-kaart, wachtwoorden van routers en alle andere met internet verbonden apparaten wijzigen in unieke lange wachtwoorden, met cijfers, kleine en hoofdletters en speciale tekens erin. Gebruik ook een betrouwbare wachtwoordmanager, zoals 1Password.
novastorm76 @theduke19896 juni 2023 08:20
Het is geen domme vraag. Maar waar het hier over gaat is dat er bij een datalek (dus een bedrijf heeft jouw persoonlijke gegevens niet goed beveiligd heeft tegen diefstal) jouw email adres buitgemaakt is door hackers (of andere criminelen). Vaak worden door die criminelen ook prive gegevens (Naam Adres Woonplaats, credit card info en eventueel wachtwoord) buitgemaakt.

Een crimineel kan dan met gebruik van b.v. je wachtwoord kijken, of je ergens anders dat wachtwoord nog gebruikt. Stel je voor dat je jouw wachtwoord van Bol.com ook gebruikt bij Gmail, dan kan een hacker dus ook eventueel in je bol.com account komen en dingen op je naam bestellen.

En het gaat ook verder dan dit, maar dan word het erg cryptisch. Mijn advies: zorg dat je overal een ander wachtwoord hebt, zoveel mogelijk Multi Factor Authentication (MFA). b.v. sms, een auth app) En dan kom je al een heel eind.
LOTG @theduke19896 juni 2023 08:27
Nee, het heeft er mee te maken dat de bedrijven (webshop, forum etc.) waar je ooit je chello email hebt opgegeven toevallig allemaal ooit een datalek gehad hebben.

De bedrijven waar je gmail als email hebt opgegeven toevallig niet.
Of je hebt je gmail adres nooit opgegeven als email adres bij een bedrijf.

De gegevens die ze hebben zijn ook niet je login gegevens voor je email (tenzij die ook ooit zelf een datalek gehad hebben of hebt het zelfde wachtwoord gebruikt voor je mail en de partij waar een datalek is geweest).

De beveiliging van je email heeft dus geen relatie tot het datalek. Hooguit dat two factor authentication je extra beschermt heeft mocht je toch het zelfde wachtwoord elders gebruikt hebben.
Carlos0_0 @tedades6 juni 2023 08:13
Ik bekijk die ook zo nu en dan wel eens, maar geen van mijn emails staan daarin.
Zelfs mijn Ziggo mail die ik letterlijk niet gebruik niet, en vol staat met spam mails over van alles en nog wat.
CorbataGames @Carlos0_06 juni 2023 08:21
Omdat je hem niet gebruikt, staat hij er niet in.

Als jij je overal aanmeldt met hetzelfde e-mailadres, is de kans groter dat die ergens uitlekt. Als jij je e-mailadres nergens gebruikt kan hij ook nergens lekken.

Het gaat voornamelijk om logins, dus als jij ergens een account hebt.
Carlos0_0 @CorbataGames6 juni 2023 08:25
Ik gebruik mijn outlook voor van alles en nog wat, en heb nog een gmail voor wat zaken.
Dan heb ik nog een eigen prive mail met eigen domain, die gebruik ik alleen voor de belasting of de bank enzo.

Maar geen van die 3 staan in haveibeenpwned website.
CorbataGames @Carlos0_06 juni 2023 09:11
Van de belastingdienst en de bank mag je aannemen dat je gegevens niet zullen lekken (al weet je dat nooit zeker, zeker niet als ze zich inlaten met bedrijven die bijvoorbeeld tevredenheidsonderzoeken doen).

Verder is het sterk afhankelijk van waar jij je voor ingeschreven hebt. Mijn e-mailadressen zijn bijvoorbeeld uitgelekt via hacks/leaks bij Dropbox, LinkedIn, Adobe, Trillian (ja zo oud ben ik al ;-)), vBulletin en nog een aantal forums waar ik op zat aangemeld.
Carlos0_0 @CorbataGames6 juni 2023 09:46
Mijn outlook/hotmail staat ook ingeschreven bij Linkedin, Dropbox en zijn niet gelekt, en ja ik heb ook ooit Trillian gehad.
Alleen toen gebruikte ik denk ik nog een ander email adres, maar het was een leuk programmaatje :).

Verder ook nog wel een aantal forums van hier, of de Donald duck(AD) etc van alles en wat wel.
Ik heb wellicht geluk gehad tot nu toe, en goed kan altijd nog eens gebeuren.
FONfanatic @CorbataGames6 juni 2023 09:32
Het is dan ook raadzaam om minstens twee mailadressen erop na te houden: eentje voor privémails en eentje om je mee in te schrijven op diverse websites en apps. Voor een tijdelijke inschrijving of waar men je ertoe verplicht in te loggen maar je dat eigenlijk niet wilt kun je een anoniem mailadres aanmaken.

Als men je mobiele nummer wil, vul dan gewoon 06-00000000 in.
LongTimeAgo @tedades6 juni 2023 08:43
M'n hotmail adres is echt schandalig veel gelekt... Maar goed, dat adres gebruik ik ook regelmatig voor webshop aankopen, game registraties en andere "minder belangrijke" doeleinden. M'n gmail en outlook adressen daarentegen zijn gelukkig nog niet gelekt. Maar die zijn ook meer in voor belangrijkere doeleinden.
FONfanatic @tedades6 juni 2023 11:05
Een naamswijziging is snel te regelen: een voornaam is eenvoudig te doen, een familienaam is moeilijker, soms zelfs onmogelijk. Een adreswijziging, tsja, je verhuist en geeft je adresgegevens nog niet digitaal overal door.

Alleen een geslachtswijziging, daar moet je nog altijd veel voor doen. Want de primaire angstreflex dat een man geregistreerd als vrouw dat aanpakt om vrouwen in kleedkamers enz. seksueel te misbruiken zit diep verankerd is onze op sekseapartheid gebaseerde samenleving, niet alleen bij seksueel misbruikte personen.
Martijn033 @FONfanatic7 juni 2023 10:18
Een naamswijziging 'regelen' dat kan uiteraard, maar daarmee is het nog niet officieel: dat kan echt alleen via de gemeente waar je staat ingeschreven, en die doen dat niet zomaar. Inderdaad is een familienaam nog moeilijker, want dat gaat altijd via de rechtbank.
Juist een geslachtswijziging is gemakkelijker geworden: dat gaat nu wel via ambtenaar van de burgerlijke stand bij de gemeente, zonder extra papieren, terwijl dat vroeger alleen met een medische verklaring kon. Overigens kan een geslachtswijziging maar éénmaal. Terugwijzigen moet nog altijd wel met een medische verklaring.
Tintel 6 juni 2023 09:03
Toch bijzonder dat juist veel zorginstellingen data lekken. Juist die data is gevoelig. Mijn mail-adres op zich is nou niet zo 'gevoelig'.

Toch niet zo'n goed idee dat centrale patienten dossier? </s>
Zeror @Tintel6 juni 2023 10:12
Ik heb het idee dat juist in de zorg de prioriteit op beveiliging van persoonsgegevens lager staat dan de kerntaken van de zorg, namelijk het verzorgen van de mensen zelf op wat ze op dat moment nodig hebben. Beveiliging van gegevens is slechts bijzaak vaak. Zeker bij kleine en/of onafhankelijke zorginstellingen enzo.
Polydeukes @Zeror6 juni 2023 11:18
Ik werk niet in de zorg, maar ken wel aardig wat mensen die daar in de ICT en security actief zijn. Informatiebeveiliging is zeker geen bijzaak, maar er zijn wel heel veel zaken die het complex maken. Om er een paar te noemen:
  • Er zijn ontzettend veel administratieve processen waar (gevoelige) patiëntinformatie wordt ingevoerd, uitgelezen en uitgewisseld. Hoe meer handelinggen en processen, hoe groter de kans dat het misgaat.
  • Zorgmedewerkers hebben (over het algemeen) een lagere cyber-awareness. Zoals je terecht zegt staat de zorg voor de patiënt op prio 1. De werkdruk is enorm hoog en de administratieve druk is ook heel hoog. Als je tijd kunt winnen door een olifantenpad te nemen, dan is dat heel verleidelijk. Als je je dan onvoldoende realiseert wat de risico's zijn, is de kans groter dat het misgaat
  • Omdat de sytemen zo ontzettend veel informatie bevatten en ook nog eens heel veel gevoelige informatie bevatten, zijn het interessante doelen voor kwaadwillenden
  • De financiën in de zorg staan continu onder druk. Als bestuurder moet je dagelijks afwegen of je je geld besteedt aan (behoud van) werknemers, kwaliteit van patiëntenzorg of je bedrijfsvoering (waar ICT en cybersecurity onder vallen. Dat zijn dus iedere dag bijna onmogelijke keuzes die je moet maken.
  • Veel legacysystemen
  • Vanwege het slechte imago is het lastig om gekwalificeerd (ict/security-)personeel aan je te binden
Dus niet om het goed te praten, maar het is gewoon een complexe omgeving waar de risico's op de loer liggen door de omstandigheden waarin men moet werken.
Tintel @Polydeukes6 juni 2023 12:17
Niet om je betoog teniet te doen maar is dat niet van toepassing voor bijna alle sectoren?

Behalve misschien
Vanwege het slechte imago
- maar is dat ook wel zo? Welk slechte imago dan? Dat ze minder goed betalen?

Mensen die niet zelf in security werken, zien security altijd als secundair en vooral hinderlijk. Dat wordt soms iets anders als een beveiligingslek, ellende heeft opgeleverd.

Je hebt wel gelijk op het punt van de hoeveelheid persoonsgegevens die in een zorgsinstelling bekend is - maar bijv. banken, verzekeraars hebben dat probleem natuurlijk ook.

En m.b.t. complexe omgeving; welk bedrijf/sector heeft niet te maken met meerdere systemen (waaronder legacy)?
Polydeukes @Tintel6 juni 2023 13:55
Banken en verzekeraars zijn commercieel. Die hebben veel minder last van tekort aan geld.
CAPSLOCK2000
@Zeror6 juni 2023 12:03
Ik heb het idee dat juist in de zorg de prioriteit op beveiliging van persoonsgegevens lager staat dan de kerntaken van de zorg, namelijk het verzorgen van de mensen zelf op wat ze op dat moment nodig hebben. Beveiliging van gegevens is slechts bijzaak vaak. Zeker bij kleine en/of onafhankelijke zorginstellingen enzo.
Dat is waar maar volgens mij is het echte verschil dat men in de zorg nogal, eh, zorgzaam is en men daar over het algemeen probeert om netjes de regels te volgen. In andere organisaties wordt er volgens mij meer onder vloerkleed geveegd. (Dat is vooral een onderbuikgevoel van mij, ik kan natuurlijk niet weten wat er geheim gehouden wordt).
michelmau5 @Tintel6 juni 2023 10:14
Je moet beseffen dat het overgrote deel van de datalekken niet door het systeem komen, maar door een medewerker die een verkeerd mailadres invoert bijvoorbeeld in een mail waar persoonsgegevens in zitten. Ik vind het ook niet zo raar dat deze instellingen het meeste lekken, want hier werken ze het meest met zulke gegevens.
Tintel @michelmau56 juni 2023 12:09
Ik vind het ook niet zo raar dat deze instellingen het meeste lekken, want hier werken ze het meest met zulke gegevens.
Daar ben ik het niet mee eens. Mensen in de zorg weten best dat de gegevens gevoelig zijn. Daarom kun je niet zomaar stellen "ze werken veel met persoonsgegevens dus lekken ze ook meer". Webshops werken ook veel met persoonsgegevens maar die lekken blijkbaar minder.
Ook is mij niet duidelijk af al die lekken, menselijke fouten betreft m.b.t. 'handling' of een gevolg is van beveiligings-problemen cq. -foutjes. Dus komt het lek nu door het systeem of door de mensen?
michelmau5 @Tintel6 juni 2023 12:44
Webshops mailen niet dagelijks tientallen/honderden persoonsgegevens rond.
Mensen in de zorg weten best dat de gegevens gevoelig zijn
Ik werk zelf ook in de zorgsector en de gemiddelde leeftijd is hier volgens mij 40+ en het is echt bizar hoe weinig ze van IT en security begrijpen. Ik kan je in ieder geval zeggen dat bij ons in 100% van de gevallen tot nu toe een menselijke fout is geweest en niks met het systeem te maken had ondanks dat we meerdere maatregelen hebben wat betreft veilig mailen etc.
Alxndr @Tintel6 juni 2023 10:38
Wat wil je met mij medische gegevens doen? Het is persoonlijk, maar gevoelig?

Liever dat ze weten dat ik iets aan mn hart heb, dan mn BSN, of betaalgegevens of andere zaken die je echte problemen op kunnen leveren
locke960 @Alxndr6 juni 2023 11:31
ALLE gegevens kunnen gevoelig zijn, het hangt af van de context.
Jou kan het misschien niets schelen als iedereen weet dat je een SOA-test hebt gehad, maar voor een jongedame uit een familie met bepaalde orthodoxe religieuze opvattingen en heel specifieke ideeën over eer, kan het het verschil zijn tussen leven en dood.

Dat is een extreem voorbeeld, maar het gebeurd.

en dan hebben we het nog niet gehad over wat er allemaal mogelijk is als op het oog onschuldige gegevens met elkaar gecombineerd gaan worden.
mbbs1024 @Alxndr7 juni 2023 00:10
Verzekeringsmaatschappijen en banken kunnen medische gegevens goed gebruiken om mensen met bepaalde risicoprofielen uit te sluiten, dat is zeer winstgevend voor hen.
Alxndr @mbbs10247 juni 2023 08:57
En verboden, in ieder geval in NL, en makkelijk te controleren volgens mij.
WillySis
@Tintel6 juni 2023 10:13
Een datalek binnen de zorg kan ook al zijn omdat de beveiliging niet juist is afgesteld. Als alle medewerkers van een instelling bij alle patiëntengegevens kunnen, is dat al een datalek. De gegevens horen zo afgeschermd te zijn dat alleen "bevoegde" personen toegang kunnen krijgen. Een bevoegd persoon is dus een behandelend arts en de verpleging die de gegevens nodig hebben om hun werk te kunnen doen. Verpleging die elders in de instelling werkt, of die geen dienst heeft hoort niet meer bij de patiëntgegevens te kunnen. Uiteraard met enkele uitzonderingen. Ook de verpleging moet zich voor de dienst natuurlijk even in kunnen lezen.

De gegevens die naar buiten lekken zijn lang niet altijd de medische gegevens. Vaak wel de contact gegevens, mogelijk compleet met geboortedatum en BSN. Identiteitsfraude is met die gegevens dus zeker mogelijk.
Orgel @WillySis6 juni 2023 10:30
Uiteraard met enkele uitzonderingen
En daar gaat het dus fout
Paul @Orgel6 juni 2023 10:48
Leg uit? Als het goed is (en een modern EPD heeft dat standaard ingebouwd) zitten er "Break The Glass"-achtige functionaliteiten in waarmee iemand in dat soort uitzonderingsgevallen toegang kan krijgen, en het gebruik daarvan wordt gemonitord. Op misbruik wordt bij ons actief gecontroleerd en geacteerd.

Als jij een behandelrelatie hebt en het systeem denkt van niet, dan mag je toch bij die gegevens. Als een collega om je input vraagt over een gezamenlijke patiënt maar het is je vrije dag dan mag je toch bij die gegevens.

Het bestaan van die uitzonderingen is niet het probleem. Mensen die de mechanismen om met die uitzonderingen om te gaan misbruiken, die zijn een probleem.
WillySis
@Orgel6 juni 2023 19:13
De uitleg staat in de zin erna! Daarbij kunnen de verpleegkundigen nog enkele uren na de dienst bij de gegevens om eventueel nog wat te kunnen rapporteren waar ze tijdens het werk geen tijd voor hadden. Stagiaires hebben kunnen alleen tijdens de dienst bij de gegevens van "hun" patiënten.

Helaas zijn ziekenhuizen voor hackers erg interessant. Er zijn waardevolle gegevens te halen, maar het is deels ook gewoon een sport om een ziekenhuisnetwerk binnen te komen. Lang niet bij elk lek worden daadwerkelijk patiënt gegevens gestolen.
onno oliver @Tintel6 juni 2023 10:52
Nou het idee van een zorginstelling zoals bv een ziekenhuis is dat het "open karakter" heeft het is geen Nederlandse Bank.

Daar schuilt het probleem de openheid.
Groot verloop van personeel, inhuur, dagelijks verschillende cliënten zeven dagen in de week 24 uur.

Zo vaak heb ik een werkstation(s) /flexplekken met postits als bezoeker gezien.
Deuren met cijfersloten waarvan bepaalde cijfers vies of versleten waren.
Bloed drukmeters die aan het lan hangen.
Zaken met papier naast de beveiligde papier container.

Bovenstaande maakt het natuurlijk voor kwaadwillende wel erg makkelijk.
theduke1989 6 juni 2023 08:08
Hoe is dat als je naar het buitenland bent verhuisd?

Ik ben nu enkele jaren in het buitenland.
Kan alleen in de grensgebieden mijn ID en paspoort verlengen.

Want als ik het wil laten verlengen waar ik 23 jaar heb gewoond zeggen ze dat ze niet meer mijn gegevens hebben. Betekent dat ze alles wissen of een groot deel en dit alleen bij de grensgebieden doorgeven?
Het.Draakje @theduke19896 juni 2023 09:09
De gemeente waar je vroeger gewoond hebt, zal die gegevens niet meer hebben. Ze zitten nog wel in de GBA van Den Haag, afdeling Buitenland.

Daar is (o.a.) mijn registratie terechtgekomen na mijn emigratie en Den Haag stuurt me ook via die weg emails voor bijvoorbeeld (vrijwillig) stemmen.

Je paspoort kun je verlengen de grensgemeentes, schiphol, consulaat en ambassade. De laatste twee in het land waar je woont (al is dat duurder dan via een grensgemeente.
Alxndr @Het.Draakje6 juni 2023 10:42
al is dat duurder dan via een grensgemeente.
Is dat zo? Op het moment dat je de trip naar Nederland meetelt al snel niet meer natuurlijk. Maargoed, de ambassade in Madrid is ook niet om de hoek, ik zal er in ieder geval rekening mee houden voor volgend jaar. Thanks
cariolive23 @theduke19896 juni 2023 08:29
Van een ID weet ik het niet, maar paspoort of rijbewijs kan ik gewoon verlengen bij het consulaat. En wanneer je toevallig in Nederland ben, kun je dat ook in de gemeente Den Haag doen. Die leveren deze dienst voor Nederlanders die in het buitenland wonen.

Maar normaal gesproken ga je daarvoor naar de ambassade of het consulaat.
vlaminge @cariolive236 juni 2023 09:00
Zo werkt het al een tijd niet meer voor mensen die bijvoorbeeld in België wonen, die moeten naar een grensgemeente om een paspoort of rijbewijs te verlengen. theduke1989 vroeg zich specifiek af wat er met die gegevens gebeurd aangezien de gemeentes ze verwijderen nadat je bent verhuisd, die persoonsgegevens worden opgeslagen in de landelijke database van de Rijksdienst voor Identiteitsgegevens.
Ik moet eerlijk bekennen dat ik die naam moest googelen. Ondanks dat ik al een paar keer op en neer ben verhuisd naar het buitenland was ik die naam nog niet tegengekomen of alleszins ergens in het nieuws over gelezen. Een beetje raar aangezien tegenwoordig alles wat met die registratie van persoonsgegevens in verband met de privacy onder een vergrootglas ligt.

[edit: typos]

[Reactie gewijzigd door vlaminge op 22 juli 2024 15:04]

cariolive23 @vlaminge6 juni 2023 09:56
Voor België snap ik dat ook wel, binnen maximaal 2 uur rijden ben je ergens in Nederland. Rijbewijs en paspoort zijn 10 jaar geldig, dus 1x in de 10 jaar even 2x heen en weer naar Nederland, dat lijkt mij acceptabel.
vlaminge @theduke19896 juni 2023 08:47
Die gegevens van jou staan geregistreerd bij de Rijksdienst voor Identiteitsgegevens, een departement op Binnenlandse Zaken.
Floort
6 juni 2023 08:13
De Autoriteit Persoonsgegevens is nog steeds geen officiële onderzoeken begonnen naar datalekken die niet gemeld zijn, ondanks een . De AP wil meer van zulk ambtshalf onderzoek gaan doen, maar heeft daar de menskracht niet voor en gaat daarom voornamelijk achter datalekken aan die wel gemeld worden.
Dat is niet helemaal waar. De AP heeft in 2022 geen onderzoeken naar ongemelde datalekken afgerond en gepubliceerd of genoemd in het jaarverslag. De AP is wel in ieder geval één zo'n onderzoek gestart in 2022, maar die is nog niet afgerond.

Ook lees ik dat de AP vanwege de lage capaciteit ervoor kiest om de focus te leggen op onderzoeken naar gemelde datalekken. Dat is een vreemde redenering. Ook met weinig capaciteit kan je prioriteiten verschuiven. En ook met weinig capaciteit is het onverstandig om het zwaarste te handhaven op degenen die in ieder geval proberen om transparant te zijn.
AuteurTijsZonderH Nieuwscoördinator @Floort6 juni 2023 08:28
De AP heeft in 2022 geen onderzoeken naar ongemelde datalekken afgerond en gepubliceerd of genoemd in het jaarverslag. De AP is wel in ieder geval één zo'n onderzoek gestart in 2022, maar die is nog niet afgerond.
Dat staat niet in deze rapportage, waarom zouden ze dat niet noemen als ze het wel gestart zijn?
Floort
@TijsZonderH6 juni 2023 08:34
Omdat het niet is afgerond of omdat de AP niet de leidende toezichthouder is misschien. Of misschien omdat de klacht eind 2021 is binnengekomen en niet in 2022. Maar met zekerheid weet ik het niet.
Bulkzooi @TijsZonderH6 juni 2023 09:49
Dat staat niet in deze rapportage, waarom zouden ze dat niet noemen als ze het wel gestart zijn?
Tijdlijn-goochelaars zijn het. Zie het als een kat in het nauw.

De overheid heeft veiligheid nooit serieus genomen, en IT verkeerd gebruikt. Maar er staan overal handtekeningen onder, dus data-science gaat de waarom vraag gewoon beantwoorden.

Is een kwestie van tijd.
dabronsg 6 juni 2023 08:00
https://haveibeenpwned.com/
Hier kan je al iets checken.
Geim @dabronsg6 juni 2023 08:18
Mijn e-mailadres komt er 10x in voor, waaronder bij Deezer, dropbox en Linkedin. Ik gebruik steeds neer variabele emailadressen van Simple login.
FONfanatic @Geim6 juni 2023 09:35
Ik wijzig mijn belangrijkste wachtwoorden vrij regelmatig.

Google heeft sinds vorig jaar lente een accountteam dat je per mail meldt dat er met je gegevens is ingelogd. Maar als een slimme hacker dat deed en dat mailtje snel verwijderde kun je daar onwetend over blijven.
Geim @FONfanatic6 juni 2023 09:53
Ik gebruik enpass voor mijn wachtwoorden, deze geeft ook een melding als een van mijn emailadressen voorkomen in de lijst van haveIbeenpawned.
FONfanatic @Geim6 juni 2023 11:26
Maar Have I Been Pawned vermeldt maar een schijntje van alle gelekte databestanden ...
Geim @FONfanatic6 juni 2023 13:35
Tsja, dat zal, maar daar moeten we het maar mee doen.
Sando @Geim6 juni 2023 09:56
Proton SimpleLogin is erg fijn en geeft een gerust gevoel bij het (moeten) aanmaken van allerlei accounts. Gebruikers van Proton SimpleLogin gaan er immers al van uit dat elk account dat ze aanmaken kan gaan uitlekken.

Bovendien geeft het dashboard per alias aan of deze voorkomt in de database van HaveIBeenPwnd dmv een rood driehoekje met een wit uitroepteken, en dan kan je dat alias meteen deactiveren/vervangen.

[Reactie gewijzigd door Sando op 22 juli 2024 15:04]

SinergyX 6 juni 2023 08:04
Je moet aannemen dat morgen de zon schijnt.

Snap de strekking wel, maar context is beetje scheef hier. Een brief met verkeerde naam/verkeerd adres is wel 'uitgelekt', maar vrijwel niemand (ontvangers) zal ooit misbruik willen gaan maken van die data. Leuk verhaal voor bij de koffie, maar ga jij iemand 'blackmailen' omdat jij een bijlage met zijn/haar informatie heb gezien? Een gerichte aanval op een database, deze legtrekken om vervolgens voor oplichting/phising te gebruiken.. heel ander niveau.

[Reactie gewijzigd door SinergyX op 22 juli 2024 15:04]

AuteurTijsZonderH Nieuwscoördinator @SinergyX6 juni 2023 08:24
De meeste invidiuele incidenten draaien om datalekken met één slachtoffer. Het aantal ransomwareaanvallen is laag, maar daarbij worden meteen tientallen, honderden of zelfs duizenden mensen geraakt. Dus hoewel dat minder vaak voorkomt is de impact daarvan wel groter. Het rapport schrijft ook niets over het aantal slachtoffers per incident, dus die cijfers kunnen op eerste gezicht scheef lijken, maar ze zijn dat zeker niet.
LongTimeAgo @SinergyX6 juni 2023 08:47
Maar dit is toch exact de data die naar die oplichtingscentra in India worden verkocht die vervolgens wél exact hetgeen gaan proberen te doen (al dan niet in massa emails) naar wat je hier zegt?
FONfanatic @SinergyX6 juni 2023 09:45
Ik maakte ooit per ongeluk een brief open die voor mijn buren bestemd was, waar toch wel heel interessante financiële gegevens in stonden. Ik schond per abuis het briefgeheim.

Overigens pochen sommigen dat ze dat 'beroepshalve' altijd al deden.
Neocortex-re 6 juni 2023 14:44
Geruststellend, eigenlijk wel. Dan kan een partij die rechten denkt te kunnen ontlenen aan het feit dat ze algemene gegevens als mijn naam en geboortedatum hebben dat steeds lastiger volhouden.

Wat een ongelofelijke soap is dit toch eigenlijk. Want behalve lekken zijn er gewoon honderden, duizenden medewerkers verspreid over de planeet die toegang hebben tot databases waarin mijn gegevens zitten. Volkomen legaal. Die kunnen ze gewoon op een briefje noteren en meenemen.

Persoonsgegevens kunnen niet zomaar dienen om mijn authenticiteit vast te stellen. Ik kan bezwaarlijk na ieder datalek van geslacht veranderen zogezegd.

Natuurlijk vind ik het niet fijn als mijn medische gegevens op straat liggen. Maar ik begrijp ook dat iedere handeling een risico met zich meebrengt. Om ook dat te relativeren: er zijn genoeg mensen waarvan een gezondheidsissue heel zichtbaar is. Die dealen ook daarmee.

Ik ben actief in de openbare ruimte. Fysiek en digitaal. Daar ben ik zichtbaar. Niets mis mee. Als iemand aan het strand een foto wil maken - ik wens hem/haar ook een leuke middag.
CAPSLOCK2000
@Neocortex-re6 juni 2023 16:13
Wat een ongelofelijke soap is dit toch eigenlijk. Want behalve lekken zijn er gewoon honderden, duizenden medewerkers verspreid over de planeet die toegang hebben tot databases waarin mijn gegevens zitten. Volkomen legaal. Die kunnen ze gewoon op een briefje noteren en meenemen.
Het enige goede dat ik er over kan zeggen is dat het voorheen nog erger was.
We hebben nu een klein beetje wettelijke bescherming die voor een klein stuk wordt uitgevoerd.
Iets is beter dan niets, maar het blijft vrij karig.
Ik kan bezwaarlijk na ieder datalek van geslacht veranderen zogezegd.
Als je sommige conservatieve media leest zou je denken dat er mensen zijn die dat wekelijks voor de lol doen ;)
Om ook dat te relativeren: er zijn genoeg mensen waarvan een gezondheidsissue heel zichtbaar is. Die dealen ook daarmee.

Ik ben actief in de openbare ruimte. Fysiek en digitaal. Daar ben ik zichtbaar. Niets mis mee. Als iemand aan het strand een foto wil maken - ik wens hem/haar ook een leuke middag.
Daar wil ik toch wat kanttekeningen bij plaatsen.
Er zijn inderdaad een hoop mensen die met een of andere situatie moeten dealen die niet ideaal is. De wereld is niet perfect en soms zijn er geen goede oplossingen.
Maar we moeten blijven streven naar het ideaal. Wat we vooral niet moeten doen is het omdraaien en zeggen dat niemand recht op privacy heeft omdat het voor sommige mensen onmogelijk is om (een bepaald stukje) privacy te hebben.

De tweede opmerking die ik wil maken is dat er echte verschillen zijn tussen online- en de offline-wereld. Als iemand strandfoto's wil maken moet die persoon zelf naar dat strand toe en kan die misschien één iemand per minuut goed op de foto zetten. In de online-wereld is het vaak mogelijk om in één seconde álle gegevens van álle klanten op te vragen, wereldwijd.

De derde opmerking is dat er inderdaad verschillen zijn tussen de openbare ruimte en privé-terrein maar dat er op internet geen echte openbare ruimte of privé-terrein is. Iedere website en iedere kabel is privé-eigendom maar voor de meeste mensen is het niet hún eigendom maar dat van een of andere dienstverlener (bv MS of Google of Facebook). De meeste mensen hebben geen enkele plek op internet waar ze wel privacy hebben. In de 24/7 altijd-online alles-is-een-abonnement wereld waar we naar toe bewegen wordt het steeds moeilijker om nog enige vorm van privacy te vinden.
Sterker nog, de hedendaagse commerciële besturingsystemen (Windows, Android, iOS/MacOS) behandelen onze apparaten en de data daarop ook al alsof ze eigendom van het bedrijf zijn en wij, de gebruikers, de vijand zijn waar tegen verdedigd moet worden.
KrsOne 6 juni 2023 08:00
Prima, maar dan moeten bedrijven ook ophouden met het vragen naar NAW-gegevens plus geboortedatum als verificatiemiddel
pmeter @KrsOne6 juni 2023 08:31
Daar zou inderdaad een alternatief voor moeten komen.

Zouden bedrijven voor de verificatie of het echt de klant is die belt 2FA via de DigiD app kunnen implementeren? Of is dat zo ingewikkeld dat we het niet van een Ziggo, Vattenfall en de lokale apotheek en huisarts mogen verwachten?

Voor mensen zonder mobiel of moeite daarmee zou de overheid een soort Rabo reader kunnen uitgeven. Met optioneel en voor voor visueel gehandicapten een exemplaar dat met piepjes (een telkens andere unieke code) via de telefoon met de computer van het bedrijf kan praten voor 2FA. Dan hoeft een burger alleen op de startknop te drukken en gaat de rest vanzelf. Dat apparaatje geeft dan geen toegang tot DigiD (of wel als het veilig genoeg is), maar biedt een platform om je telefonisch te legitimeren bij bedrijven.

[Reactie gewijzigd door pmeter op 22 juli 2024 15:04]

FONfanatic @pmeter6 juni 2023 09:40
Beter dan Digid is het door banken ontwikkelde iDin. Banken hebben een veel directer belang datalekken en identiteitsfraude te voorkomen dan de preferentste schuldeiser inter pares.
bzuidgeest 6 juni 2023 08:31
Meer dan de rest van Europa... Maar is dat omdat het hier meer gebeurd? Of omdat het hier meer gemeld wordt? Zeker die gevallen van een verkeerd bezorgde brief. Ik kan mij voorstellen dat in de meeste landen niemand de moeite neemt om het te melden. Die dingen gebeuren all sinds post bestaat.
CAPSLOCK2000
@bzuidgeest6 juni 2023 12:02
Meer dan de rest van Europa... Maar is dat omdat het hier meer gebeurd? Of omdat het hier meer gemeld wordt? Zeker die gevallen van een verkeerd bezorgde brief. Ik kan mij voorstellen dat in de meeste landen niemand de moeite neemt om het te melden. Die dingen gebeuren all sinds post bestaat.
Ik ben er van overtuigd dat het verschil vooral zit in dat we meer melden en dat we in NL in het algemeen meer geven ombezig zijn met security en privacy dan in anderen landen. Die lat ligt misschien niet zo heel hoog maar we zijn vrij goed in regeltjes en procedures volgen. Daarnaast is klagen een nationale hobby.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq