Ethisch hacker kon e-mailadressen van 60.000 DUO-terugbetalers inzien

Een ethisch hacker ontdekte dat de e-mailadressen van 60.000 terugbetalers van de Dienst Uitvoering Onderwijs toegankelijk waren door een datalek. Geen andere data was zichtbaar, maar omdat veel e-mailadressen namen bevatten, was veelal duidelijk wie de schuldenaren waren.

De ethisch hacker verkreeg toegang tot de e-mailadressen van oud-studenten nadat DUO een enquête verstuurde aan 60.000 mensen met een studieschuld, meldt BNR. Het datalek werd op 30 mei ontdekt en dezelfde avond nog gemeld. De software die DUO gebruikte voor het versturen van de enquêtes bleek slecht beveiligd. Die was afkomstig van het Zwitserse bedrijf Survalyzer. Hoewel het alleen om e-mailadressen ging, was de identiteit van betrokkenen in veel gevallen af te leiden, omdat veel e-mailadressen een voor- en achternaam bevatten.

De e-mail in kwestie bevatte vragen over de financiële situatie van oud-studenten. Het is echter niet de enige enquête die DUO uitvoerde met Survalyzer, waardoor mogelijk ook de e-mailadressen van onder meer scholen en gemeenten publiekelijk toegankelijk waren. DUO heeft een melding gedaan van het voorval bij de Autoriteit Persoonsgegevens. Volgens de Dienst Uitvoering Onderwijs waren er alleen e-mailadressen in te zien. Het onderzoek en de bijbehorende data zijn op 31 mei, een dag nadat de melding van het datalek binnenkwam, offline gehaald. Survalyzer heeft daarnaast een beveiligingsbedrijf ingeschakeld om het datalek te onderzoeken.

Reacties (84)

laforte 24 juni 2024 08:49

Misschien een domme vraag maar waarom gebruikt een Nederlandse overheidsinstantie een Zwitsers bedrijf voor het uitvoeren van een enquête?
Waarom wordt niet voor een Nederlands bedrijf gekozen? Waarom gebruiken ze niet een eigen systeem om de enquête uit te voeren? Bijvoorbeeld een mail uitsturen welke je doorverwijst naar een pagina van DUO waar je de enquête kunt invullen.
Ik zie in ieder geval veel alternatieven, of zie ik dat verkeerd?

Hyronymus @laforte • 24 juni 2024 08:55

Als je zoek op Survalyzer kom je tegen dat ze ingebouwde dashboards bieden. Dat is ideaal om kaas te maken van de ingevoerde antwoorden.

Ik ben met je eens dat daarvoor zat alternatieven te bedenken zijn, mogelijk zelfs Nederlands. Ik denk dat de Zwitsers een betere marketingafdeling hebben

Rouwette @Hyronymus • 24 juni 2024 09:35

Of de aanbesteding hebben gewonnen.

Hyronymus @Rouwette • 24 juni 2024 10:56

Ja, ook dat is marketing

Mosterd @Hyronymus • 24 juni 2024 10:09

Zal wel goedkoper zijn geweest, prijzen zijn namelijk best scherp. Echter goedkoop = duurkoop.

vrow @Hyronymus • 24 juni 2024 12:22

Met die Zwitsers heb je wel een groter risico op gatenkaas natuurlijk....

SiErRa @laforte • 24 juni 2024 09:01

Overheidsinstanties moeten (boven een bepaald bedrag) aanbesteden. Dus ze mogen niet zomaar iets kiezen. Er hangen wel criteria aan natuurlijk.

Een eigen systeem bouwen kost vaak meer, en eigen software bouwen is gewoon duur.
Een bestaande dienst afnemen is meestal beter en goedkoper.

Ik vind het wel vreemd dat ze bij een Zwitserse partij zijn uitgekomen, aangezien dat niet binnen de EU valt.
Want voor veel instanties geldt vaak dat alle persoonsgegevens binnen de EU moet blijven.

Verwijderd @SiErRa • 24 juni 2024 09:39

Ik vind het wel vreemd dat ze bij een Zwitserse partij zijn uitgekomen, aangezien dat niet binnen de EU valt.
Want voor veel instanties geldt vaak dat alle persoonsgegevens binnen de EU moet blijven.

Ondanks dat Zwitserland niet in de EU zit is het nog steeds via de EEA (European Economic Area) stevig ingebed in veel van de uit EU afkomstige wetgeving. Het zou zomaar kunnen dat op het gebied van persoonsgegevens de boel is geharmoniseerd.

F_J_K Forummoderator @Verwijderd • 24 juni 2024 10:22

Nee, geen deel van de EEA. Maar wel is Zwitserland gewoon deel van de Europese VrijhandelsAssociatie, en hun privacywetgeving is GDPR-equivalent verklaard. Niets mis mee.

Zelf een enquête-formulier in elkaar gaan prutsen gaat het er niet veiliger op maken, een specialist kan dat beter. (Zie de andere reacties daarover). Juist dan worden er (beginners-)fouten gemaakt. Als de opdrachtgever aan alles had gedacht, hadden ze zelf het datalek al gezien en laten oplossen voor ze eigen data hadden geüploaded.

Neemt niet weg dat in dit geval die Survalyzer heeft geprutst. Dit soort fouten mogen niet.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@laforte • 24 juni 2024 09:01

Het zelf doen is wel even andere koek. Een enquête uitgeven is stap 1. De uitkomsten verwerken kan redelijk ingewikkeld zijn. Daar zit best een stuk complexiteit in en je moet dan wel die software in huis hebben.

Als je alleen wilt weten 'zoveel procent gaf A bij vraag 1, zoveel gaf B bij vraag 2'. Dat is in een half uurtje Excellen wel voor elkaar te krijgen.

Als je echter zaken wilt weten als 'Van wie A zei bij 3, 5 en 29, B zei bij 2, 5 en 12', wat is dan de verhouding van antwoorden bij 19 en hoe schuift dat naarmate meer mensen bij 3 C zeiden. Ook het verwerken van de 'toelichtingen' kan redelijk complex zijn. Nou zal dat met AI-technieken makkelijker zijn, maar dan moet je dus wel die software in huis hebben.

Je komt dus al snel uit bij een externe partij met die expertise om dit goed te doen.

N.B. Ik kan me niet voorstellen dat er geen bedrijf in Nederland is, die dit ook goed kan doen. Dus waarom een Zwitsers bedrijf? Ik zou zeggen. Neem contact op met DUO. Allicht hebben ze er een hele goede reden voor.

WokBoy

@lenwar • 24 juni 2024 09:13

Ik wil daar nog wel aan toevoegen dat bulk mailings (zeker voor gekke dingen als enquetes) tegenwoordig niet zo eenvoudig meer te regelen zijn.
Dan is de keuze: een bedrijf dat werk maakt van reputatie van IP ranges, RBLs, DMARC en afhandeling van spamklachten (terecht of niet), of een eigen brouwsel met gare postfix servers, geen throttling, gefaalde DKMI keys en met de serieuze kans op RBLs terecht te komen?

n4m3l355 @WokBoy • 24 juni 2024 10:13

Hoewel SPAM beduidend beter geflagged wordt, zijn er nog steeds platformen die dit (heel) groot doen, te denken aan Mail Chimp maar zo krijg ik toch wel van bijna alle grote platformen tot dagelijks wel een emailtje.

De verschillende oplossingen werken dan ook tweezijdig, dodgy websites verdwijnen in de trash maar omgekeerd sites die hoog in het vaandel staan kunnen naar believe emailen. Mij verbaast het eigenlijk dat een organisatie zo groot als Duo dat van doen heeft met miljoenen klanten profiels zoiets niet fatsoenlijk zelf kan. Ik snap dat uitbesteden makkelijk is maar je hebt zoals we hier zien met gevoelige data van doen en je wilt toch wel in contact blijven met je klantjes. Ook is het niet zo dat Duo de enigste grote partij bij de overheid is die veelvuldig e-mailed, dus waarom heeft de overheid niet hun eigen MailChimp? Toch wel raar dat onze gegevens al zij het enkel e-mail addressen bij een Zwitsers bedrijf terecht komen.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Nederland
Datalek

@n4m3l355 • 24 juni 2024 11:13

Ook is het niet zo dat Duo de enigste grote partij bij de overheid is die veelvuldig e-mailed, dus waarom heeft de overheid niet hun eigen MailChimp?

Ik wil er geen politiek debat van maken maar we hebben de afgelopen decennia rechts liberale regeringen gehad die de voorkeur geven aan zoveel mogelijk door de markt laten doen met de overheid als manager/regisseur.

Daarbij zijn overheid en politiek versnipperd. Diensten als DUO zijn vooral met zichzelf bezig, niet met hoe de overheid als geheel beter zou kunnen functioneren. Dan koop je precies in wat je zelf op dat moment nodig hebt in plaats van jouw geld te investeren in een dienst voor iedereen.

Dat heeft voor- en nadelen en laat ik het daar wat politiek betreft daar maar bij laten.

Mij verbaast het eigenlijk dat een organisatie zo groot als Duo dat van doen heeft met miljoenen klanten profiels zoiets niet fatsoenlijk zelf kan.

Dat zouden ze vast kunnen, maar Mailchip kan het waarschijnlijk goedkoper omdat ze gespecialiseerd zijn in één ding. Het nadeel daarvan is dat het een grootschalige one-size-fits-all oplossing wordt die niet altijd goed bij de gegeven situatie past. Daarnaast is er geen ruimte voor meedenken met gebruiker of uit eigen initiatief iets extra doen. Met nauwe marges kun je immers alleen precies doen wat de klant gevraagd heeft. Vergeet de klant iets belangrijks te vragen dan is dat jammer en voor de volgende keer. Het is alleen erg lastig om het juiste te vragen als je zelf geen verstand van zaken hebt. Die kennis kun je wel inhuren, maar dat kost ook geld en je hebt het probleem vooral verplaatst want nu moet je de juiste consultant weten te vinden. Verantwoordelijk beleggen wordt zo ook erg lastig, want de beslissingen worden genomen door mensen die niet in dienst zijn en weinig band met de organisatie hebben. Hun doel is de opdracht uitvoeren, of de opdrachtgever daar ook echter beter van wordt is van secundair belang. Technisch gezien krijgt ieder het bestelde.
(Bovenstaande is generaliserend maar het gaat me ook om het algemene principe, ik probeer niet te zeggen dat het inhuren van externen slecht is maar dat ons systeem veel nadruk legt op inkoopsprijzen laag houden op korte termijn. Dat is niet één centrale beslissing maar hele serie van kleine beslissingen en opvatting gedurende heel wat jaren.)

Aurora @laforte • 24 juni 2024 09:36

Als je als overheidsinstelling bij een niet-Europees bedrijf diensten afneemt, dan neem ik het volgende aan:

De gebruikte servers staan in de EU (lidstaten) zone
Wettelijke vereisten zijn van toepassing en meegenomen. Denk aan GDPR, Wbni, etc).

Amazon, Google, Microsoft, Cisco, etc, mogen wel, maar Zwitsers bedrijf niet?

Even los van het feit dat ik per definitie niet een fan ben van landen die een wet in stand hebben, waarbij data hoe dan ook geëxtraheerd kan worden als ze het hen uitkomt.

[Reactie gewijzigd door Aurora op 22 juli 2024 15:48]

Maurits van Baerle @Aurora • 24 juni 2024 10:30

Zwitserland ligt in Europa en is weliswaar geen lid van de EU maar aangezien ze meer dan honderd verdragen met de EU hebben (waar onder over privacy, hun privacywetgeving is gelijkwaardig aan de GDPR, ze kunnen het zich niet veroorloven af te wijken van de EU) zijn ze voor de meeste praktische toepassingen gelijkwaardig aan een EU lidstaat.

Saeverix

@laforte • 24 juni 2024 08:57

Zijn er Nederlandse bedrijven die enquete diensten aanbieden dan?

In veel gevallen is het goedkoper om (tijdelijke) een bestaande enquete dienst te gebruiken, in plaats van enquete functionaliteit in je bestaande website(s) te laten bouwen.

robvh99 @Saeverix • 24 juni 2024 22:23

Ja hoor, kijk maar eens op https://expoints.nl/
En volgens mij is dat echt niet de enige.

Zer0 @laforte • 24 juni 2024 08:58

Natuurlijk zijn er alternatieven, maar is dat dan beter? Een eigen (gemaakt) systeem gebruiken kan ook, maar als daar wat mis mee gaat, komt de vraag waarom er geen specialist is ingeschakeld.

Hetzelfde geldt voor het gebruiken van een Nederlandse leverancier, ook daar kan wat mis gaan.

vreakz @laforte • 24 juni 2024 09:16

Ik denk.... gigantische aanname... dat de licentiekosten voor dit soort survey tools ontzettend hoog zijn. Voor de paar keer dat ze er gebruik van maken is het waarschijnlijk goedkoper om het via een ander bedrijf te doen.
Qualtrics, bijvoorbeeld, is echt heel duur.

PolarBear @laforte • 24 juni 2024 09:22

Ik zie in ieder geval veel alternatieven, of zie ik dat verkeerd?

Op welke manier is dat een garantie dat een datalek zoals deze niet gebeurd bij een alternatief zoals jij die aanmerkt? Alsof een bedrijf uit Nederland of de DUO zelf niet ook zo'n fout kan maken.

terual @laforte • 24 juni 2024 09:48

Survalzyer heeft ooit het Nederlandse NetQuestionnaires overgenomen. Dus ook al kies je voor een Nederlandse partij wil dat niet zeggen dat dat zo blijft in IT-land.

CH4OS

Datalek

@laforte • 24 juni 2024 10:15

Waarom wordt niet voor een Nederlands bedrijf gekozen?

An sich kan dat best praktische redenen hebben. Zwitserland heeft juist strengere AVG/GDPR regels dan Nederland, dus om de privacy hoef je het niet te laten.

Waarom gebruiken ze niet een eigen systeem om de enquête uit te voeren?

Wat is een "eigen" systeem? Zelf ontwikkeld, of zelf ingekocht? In beide gevallen had het lek er net zo goed in kunnen zitten, nu ligt de verantwoordelijkheid voor het lek mogelijk bij de 3rd party.

Bijvoorbeeld een mail uitsturen welke je doorverwijst naar een pagina van DUO waar je de enquête kunt invullen.

En hoe komt die enquete dan op die pagina denk je? Magisch?

Of is daar ook weer een stukje software voor nodig...

Ik zie in ieder geval veel alternatieven, of zie ik dat verkeerd?

Waarom zou er gelijk afgestapt moeten worden naar een alternatief door 1 lek? Stap jij ook direct over van internet provider als zij kortstondig een storing hebben gehad?

[Reactie gewijzigd door CH4OS op 22 juli 2024 15:48]

PhilipsFan @laforte • 24 juni 2024 10:23

Voor alle alternatieven die je noemt geldt hetzelfde risico op een datalek. Of denk je dat Nederlandse bedrijven op magische wijze software zonder fouten kunnen maken?

Als je het zelf maakt, dan loop je ook risico op een datalek, EN je hebt een heel team nodig dat veel tijd gaat besteden om iets te maken wat al bestaat. Als zoiets in de openbaarheid komt, dan staat er weer een berichtje in de krant zoals "DUO besteedt veel belachelijk veel geld aan onnodige enquetes". Het is nooit goed.

divvid @laforte • 24 juni 2024 10:32

geen domme vraag, maar bedenk wel, misschien was dit de goedkoopste oplossing. Dan heb je nog de NL mentaliteit:
Als je het intern doen (zonder garantie dat dat veiliger is dan extern overigens) --> jullie verspillen belasting geld.
Als je het uitbesteed --> ja maar, veiligheid dan?
Ze doen het dus nooit goed

sOid @laforte • 24 juni 2024 10:37

Toen ik voor mijn werkgever (overheidsinstantie) een aantal jaar terug op zoek ging naar een goed alternatief voor het Amerikaanse Survey Monkey, waren er geen geschikte Nederlandse partijen. Wellicht is dat nu anders.

Wij hebben uiteindelijk gekozen voor een partij uit Denemarken (met een Nederlandse vestiging). Op zich tevreden over, maar ze gebruiken een bepaalde module van een Amerikaanse bedrijf als subverwerker. Wij gebruiken die module dus niet, waardoor alle data binnen de EU blijft.

Aerophobia1 @laforte • 24 juni 2024 10:39

Europesche aanbesteding, geldt voor alles meer als 20.000 euro...

GurbieV

@Aerophobia1 • 24 juni 2024 13:40

meer dan

Daarnaast ontbreekt er nogal wat nuance in jouw bericht. zo heb je bijvoorbeeld het onderscheid tussen werken en diensten.

firest0rm @laforte • 24 juni 2024 11:49

Wat is er miss met het gebruiken van software binnen de EEA? wat maakt Nederlandse software beter dan Zwitserse?

Ik vraag me toch af waarom de gedachte Nederlands = beter vandaan komt...

ZinloosGeweldig @laforte • 24 juni 2024 19:10

Misschien een domme vraag maar waarom gebruikt een Nederlandse overheidsinstantie een Zwitsers bedrijf voor het uitvoeren van een enquête?
Waarom wordt niet voor een Nederlands bedrijf gekozen?

Een Nederlands bedrijf kiezen "omdat ze Nederlands zijn" is gewoon in strijd met de aanbestedingsregels. Daar ga je specifiekere redenen voor nodig hebben dan "Nederlands > iets anders".

Een Chinees bedrijf met een commissaris van de CCP in het bestuur bijvoorbeeld, kan een reden zijn om een bedrijf uit een ander land te kiezen. Maar dan is de reden "Omdat ze onder controle staan van een buitenlandse mogendheid" en niet "Omdat ze chinees zijn". Dat laatste is gewoon in strijd met de aanbestedingsregels voor overheden.

Overheden moeten bedrijven dezelfde kansen geven op opdrachten. Zonder te letten op het land waar ze vandaan komen (dit heet het non-discriminatiebeginsel);

lenwar

Nederland
Privacy
Beveiliging en antivirus

24 juni 2024 08:51

maar omdat veel e-mailadressen namen bevatten, was duidelijk wie de schuldenaren waren.

Een beetje kort door de bocht, maar zeker een ding. (kort omdat er vrij veel hondjes Fikkie heten. Het verschilt een beetje per naam en of ook de achternaam aan een e-mail adres is gekoppeld). Maar goed even los van die discussie, toont dit wel aan dat het per definitie en goed is, om een e-mail adres te hebben die niet aan 'jou' is gekoppeld.

Dus niet lenwar@gmail.com, maar iets van banaan69@gmail.com. Ook zou het fijn zijn als er meer mechanismen komen, zoals Apple aanbiedt, waarmee je dynamisch aliassen kunt genereren, maar dan dus gratis. Er zijn wel diensten die het aanbieden, maar die vragen er (logischerwijs) geld voor. Zodra iets een prijskaartje heeft, wordt het al snel een drempel voor het grote publiek, ook al gaat het om een paar euro per jaar.
Het zou dus fijn zijn als gmail het gratis zou aanbieden (aangezien de halve wereld een gmail-adres lijkt te gebruiken. Hier op Tweakers zullen relatief veel mensen een eigen domein hebben, maar dat zal niet representatief voor 'de rest' zijn.)

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland
Hackers

@lenwar • 24 juni 2024 08:57

Een beetje kort door de bocht, maar zeker een ding. (kort omdat er vrij veel hondjes Fikkie heten. Het verschilt een beetje per naam en of ook de achternaam aan een e-mail adres is gekoppeld). Maar goed even los van die discussie, toont dit wel aan dat het per definitie en goed is, om een e-mail adres te hebben die niet aan 'jou' is gekoppeld.

Dus niet lenwar@gmail.com, maar iets van banaan69@gmail.com.

Dan heb je iemand die 60.000 mensen mailt met het formaat: lenwar <banaan69@gmail.com>

You can't fix stupid.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@The Zep Man • 24 juni 2024 09:08

Als ze het zo sturen inderdaad wel.
In het artikel wordt aangegeven dat echt 'alleen' de e-mail adressen gelekt zijn. Dan kom je denk ik vrij rottig met 843Aardbei@gmail.com bij The Zep Man

Het is uiteraard ook niet zaligmakend hè? M'n suggestie. Maar hoe minder je over je jezelf op internet zet hoe beter. Ik benadruk ook altijd bij m'n dochter, dat als ze ergens een gebruikersnaam/spelersnaam moet verzinnen (samen met mij), dat ze dan niets mag kiezen dat aan haar gekoppeld kan worden. Niks van haar naam, niks over eventuele huisdieren/hobbies/waar ze woont/enz. Gewoon willekeurige woorden.

Ik doel hier specifiek op zaken als een naam van een Mii op het Nintendo-platform, of haar 'entiteit' in Roblox.

N.B. Het is overigens ook grappig te zien hoe creatief kinderen dan namen kunnen verzinnen

(althans. Die van mij in elk geval. Ik kan niet spreken over andermans kinderen natuurlijk.)

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland
Hackers

@lenwar • 24 juni 2024 09:16

Als ze het zo sturen inderdaad wel.
In het artikel wordt aangegeven dat echt 'alleen' de e-mail adressen gelekt zijn. Dan kom je denk ik vrij rottig met 843Aardbei@gmail.com bij The Zep Man

Dude...

Uiteraard is het niet perfect, en alle beetjes helpen. Het lekken van eigen data is denk ik ook geen kwestie van voorkomen, maar inperken.

N.B. Het is overigens ook grappig te zien hoe creatief kinderen dan namen kunnen verzinnen (althans. Die van mij in elk geval. Ik kan niet spreken over andermans kinderen natuurlijk.)

Ik denk dat een kind jong leren over digital footprint een goed idee is. Zou ook verplicht mee moeten worden genomen in lesmateriaal op basisscholen, want het is iets dat je heel je leven volgt. Qua dat was het een stuk simpeler aan het einde van de vorige eeuw, toen nog niet alles digitaal permanent was en geanalyseerd werd.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@The Zep Man • 24 juni 2024 10:05

Ik denk dat een kind jong leren over digital footprint een goed idee is

Precies dit...
Ik maak haar echt heel goed duidelijk dat alles wat ze online doet en er eventueel op zet, er voor altijd zal staan en dat ze geen controle heeft waar het uiteindelijk belandt. (Even kort door de bocht verwoord natuurlijk. Uiteraard verwoord ik me wel wat subtieler haar kant op, maar dat is wel de algemene boodschap.) En net zoals dat ze moet oppassen met wat ze online 'schrijft' naar anderen. Iemand kan zich als een ander voordoen, enzovoorts.

Het is in de praktijk lastig. Je moet ergens een middenweg zien te vinden tussen 'voorzichtig zijn' maar niet 'angstig maken' voor "online". Angst als emotie is een slechte raadgever waar rationeel denken voor nodig is. Angst is niet rationeel. Als je handelt vanuit angst, wordt het vaak paniekvoetbal met alle gevolgen van dien.
(( En ter volledigheid. Aangezien dit mogelijk voor discussies kan zorgen: De bron van de angst, kan wel rationeel zijn, maar je moet dan redeneren vanaf de bron, niet de gevolgemotie. ))

Anyway

Ik ben in elk geval blij dat ik niet in de eerste lichting ouders zit, die hun kind digiwijs moet maken, en dat ik zelf in elk geval (het idee heb) dat ik weet waar ik het over heb. Ik zie toch nog steeds veel collega-ouders die zelf echt geen benul hebben over alles en nogwat als het gaat om digitaal/digiwijs. (geen verwijt naar andere ouders natuurlijk, als je het niet weet, weet je het niet, en iedereen handelt op de best mogelijke manier.)
Ik denk inderdaad dat basisscholen hier ook wel iets aan kunnen toevoegen. We kunnen uiteraard niet verwachten dat meester Hank en juf Loes het zelf allemaal heel goed weten (die zijn ook maar mens met eigen interesses, meningen, krachten en zwaktes), maar er zouden toch wel goede lespakketten beschikbaar moeten zijn over dit soort onderwerpen?

PhilipsFan @lenwar • 24 juni 2024 10:52

Er zijn nog steeds genoeg mensen die zelf niet eens fatsoenlijke wachtwoorden gebruiken. Of voor alle accounts hetzelfde wachtwoord. Als je het zelf al teveel moeite vindt om je identiteit te beschermen, hoe kun je het dan je kinderen leren?

Ik denk ook dat een soort basis digitale bescherming deel zou moeten uitmaken van het onderwijs. En dat docenten daarvoor bijgeschoold moeten worden, of er moeten vakdocenten voor worden ingehuurd. Het is echt veel te belangrijk om aan de ouders over te laten.

PhilipsFan @lenwar • 24 juni 2024 10:49

Ik zeg dat ook altijd tegen mijn kinderen (en doe het zelf ook). Ik gebruik bijna nooit mijn eigen geboortedatum. Maar dan heb je altijd weer domme bedrijven die zo'n gegeven als 'controle' gebruiken. Als ik de apotheek bel, vragen ze altijd naar m'n geboortedatum. Alsof die uniek is.

Maar ik houd geen sluitende administratie bij welke gegevens ik bij welk bedrijf gebruik. Dat leidt soms tot hilarische situaties als ik toch de klantenservice moet bellen. "U weet uw geboortedatum niet???"

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland
Hackers

@PhilipsFan • 24 juni 2024 10:56

Maar ik houd geen sluitende administratie bij welke gegevens ik bij welk bedrijf gebruik. Dat leidt soms tot hilarische situaties als ik toch de klantenservice moet bellen. "U weet uw geboortedatum niet???"

Dat soort gegevens kan je ook in een wachtwoordbeheerder bewaren. Je kan natuurlijk ook voor jezelf een gebruikelijke geboortedatum nemen (eerste jaar decennium waarin ik geboren ben, eerste maand, eerste dag...).

PhilipsFan @The Zep Man • 24 juni 2024 10:59

Ja, dat doe ik soms ook wel, maar wordt me vaak teveel werk. Ik vind ook dat bedrijven standaard veel teveel informatie vragen. Als ik ergens iets bestel hoeven ze alleen mijn fysieke adres te weten om het pakket naartoe te sturen, mijn e-mailadres om me op de hoogte te houden en of ik ouder dan 18 ben zodat ze weten dat ik handelingsbekwaam ben. Waarom vragen ze uberhaupt om mijn geboortedatum? Of dat ik man/vrouw/iets anders ben? Ze hoeven in principe mijn achternaam niet eens te weten als ik met iDeal vooruit heb betaald...

lenwar

Nederland
Privacy
Beveiliging en antivirus

@PhilipsFan • 24 juni 2024 10:58

vragen ze altijd naar m'n geboortedatum. Alsof die uniek is.

Dit klinkt heel lullig, maar een apotheek doet dit om na te gaan of ze niet met één van je ouders of je kinderen aan het praten zijn. Meestal wordt iemand geregistreerd als:

L. Enwar, Hoofdstraat 10, Meerdijk.

Stel dat je kinderen hebt, die ook toevallig diezelfde informatie hebben (niet ondenkbaar, want er zijn best wel wat namen met een L in bovenstaand voorbeeld), dan is een controle op de geboorte wel praktisch.

Ik heb zelf wel is gehad, dat ik spontaan een ander adres had bij de apotheek. (Toen stond ik ineens bij m'n vorige adres.) Geen idee waar dat vandaan kwam, maar het zou toch bijzonder lullig zijn als je door een persoonsverwisseling, ineens de verkeerde pillen krijgt

.

Bovenstaande gaat natuurlijk nog steeds mis bij tweelingen met dezelfde voorletter. Maar die hebben als het goed is ook een vlaggetje her en der. Hoe die extra controle dan gaat weet ik niet. Maar met de toevoeging van een geboortedatum, vang je wel een hele boel af natuurlijk.

PhilipsFan @lenwar • 24 juni 2024 11:01

Maar het is geen structurele oplossing. Zoals je zelf al schrijft, kan het op die manier nog steeds misgaan. Geef gewoon iedereen een klantnummer en laat ze dat opnoemen bij een telefoongesprek. Lastig, in het begin, want mensen raken dat natuurlijk kwijt, maar beter dan de prutsconstructie hoe het nu gaat.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@PhilipsFan • 24 juni 2024 12:06

Ik denk dat dit, in het geval van een apotheek, een prima goede middenweg is.

Er zijn heel veel factoren, waarbij het 'vrijwel altijd' klopt:

Namelijk:

- Je hebt überhaupt iets van medicijnen/hulpmiddelen nodig
- Je hebt 'recent' contact gehad met een arts (herhaalrecepten hoeft dan niet per se recent te zijn, maar dan geldt bovenstaande)
- Je geregistreerde (huis)arts (voor als je is naar een andere apotheek moet)
- Je gender (dit vragen ze meestal niet, maar dat zien ze wel over het algemeen

), gezien sommige medicijnen genderspecifiek zijn
- Je NAW-gegevens
- Je geboortedatum

Die zaken samen zijn minimaal 'best wel oké'. Je zou inderdaad die geboortedatum met 'nog een klantnummer' kunnen vervangen die mensen vergeten of verkeerd opnoemen, maar ik denk dat dit voor meer gedoe gaat zorgen. Met dat is natuurlijk nog meer gezeur als je is de spullen voor je kind/partner/ouder moet ophalen. Zeker met diezelfde tweeling. Was klantnummer 12345678 nou voor Jut of voor Jul.

N.B. In de praktijk zien we ook, dat het vrijwel altijd goed gaat op deze manier. Ik verwacht niet dat een extra klantnummer meer fouten zal helpen voorkomen.

Een klantnummer is overigens heel onpraktisch als je is naar een andere apotheek moet (de nacht/zondagapotheek, of als je aan de andere kant van het land bent.) Als je dan toch al richting een soort klantnummer wilt gaan, is allicht je BSN handiger. Ik weet eigenlijk niet zeker of ze die al geregistreerd hebben staan bij een apotheek, indien niet, dan is dat ook niet handig.

Je noemt het een prutsconstructie, maar vaak zijn de simpelste constructies de beste.

lb2001 @lenwar • 24 juni 2024 09:09

Het zou dus fijn zijn als gmail het gratis zou aanbieden (aangezien de halve wereld een gmail-adres lijkt te gebruiken. Hier op Tweakers zullen relatief veel mensen een eigen domein hebben, maar dat zal niet representatief voor 'de rest' zijn.)

Heb zelf recent een mailpakket bij Strato genomen. Wil binnenkort toch eens van gmail af (die reclames, bah). Ik snap wel dat veel mensen het niet zomaar doen: er zijn gigantisch veel organisaties die jouw e-mailadres hebben en alles omzetten is klotewerk. Zelfs ik vind het vervelend, en het zal even duren voordat ik alles bij langs ben geweest, maar het is wel te doen.

Inderdaad, degene met minder tech-ervaring zal het minder snel oppakken omdat het toch zo'n groot ding is waar je (begrijpelijk genoeg) tegenop kijkt.

Darses

24 juni 2024 09:34

Opvallend dat het datalek alleen DUO zou raken. Als dit een structurele fout in de applicatie van Survalyzer is, dan zou je verwachten dat er meer klanten van Survalyzer geraakt zijn door dit 'datalek'. Wellicht kan Survalyzer onderzoek doen om uit te sluiten dat deze kwetsbaarheid misbruikt is bij andere klanten, maar als ik het goed begrijp is dat onderzoek nog niet afgerond.

CH4OS

Datalek

@Darses • 24 juni 2024 10:17

Ligt natuurlijk ook maar aan de opzet van Survalyzer en de (gebruikte) implementatie ervan door het DUO. Als het een "simpele" rechtenkwestie was, kan het issue natuurlijk gewoon aan de implemantie van het pakket voor DUO liggen en niet direct aan het programma zelf.

theduke1989 24 juni 2024 08:51

Microsoft heeft toch ook prima systemen?
Of google heeft ook prima systemen.

Waarom precies dat Zwitsers bedrijf? Heeft die een presentatie gegeven dat ze beter zijn dan de andere ? En is DUO erin getrapt?

[Reactie gewijzigd door theduke1989 op 22 juli 2024 15:48]

SunnieNL

@theduke1989 • 24 juni 2024 09:09

Jij trapt in het feit dat Microsoft en Google groot zijn dat de systemen dan beter zijn? Waar herleid je dat uit? Prijs, functionaliteit, etc. spelen allemaal mee.
Misschien was de prijs wel lager omdat ze precies de functionaliteit boden die nodig is, terwijl Google en Microsoft veel te veel overbodige functionaliteit levert en je daar ook aan meebetaald?
Wil je daarnaast de enquete data bij big tech hosten? (volgens mij gaan er op het moment juist veel stemmen op om bedrijven binnen Europa te gebruiken en waar zit je dan beter dan bij een volledig onafhankelijk land).

HADES2001 @theduke1989 • 24 juni 2024 10:09

Heel simpel je moet voldoen aan de AVG en nog een waslijst aan eisen. (Alle data moet veelal binnen de EU blijven, soms zelfs alleen lokaal) Microsoft is pas recentelijk alle diensten binnen de EU aan het aanbieden of zelfs lokaal maar in het verleden was een deel van de diensten alleen in US te krijgen. Zelfde als Google. Dus ja dan wijk je uit naar andere leveranciers

CH4OS

Datalek

@theduke1989 • 24 juni 2024 10:19

Moet de overheid alles dan maar bij Amerikaanse Big Tech onderbrengen? Ik weet niet of we daar blijer van worden als we al onze data ook 'zomaar' naar hen toe sturen.

Oon

@theduke1989 • 24 juni 2024 10:22

Nee die hebben ze niet hiervoor. Google heeft Google Forms, maar dan mag je zelf nog even de resultaten gaan verwerken uit de Google Sheet die daaruit komt. Microsoft heeft inmiddels ook een Forms, maar die is nog minder handig dan die van Google.

Echte enquetesoftware kan veel meer dan alleen een Excel sheet uitpoepen met de antwoorden, maar doet ook meteen de verwerking van die antwoorden en kan vaak zelfs (ook zonder AI, maar bijv. gewoon op keywords) dingen als sentiment uit open antwoorden halen.
Dat allemaal doen vanuit een Excel sheet is gewoon geen beginnen aan.

Los daarvan kun je beter een Europees bedrijf gebruiken dat effectief is en waar je enige druk op kunt uitvoeren in het geval van een datalek, dan dat je een Amerikaans bedrijf als Google of Microsoft gaat gebruiken.

Tweakert2020 24 juni 2024 08:47

Daarom vertrouw ik de “anonieme” enquetes nooit.

Hyronymus @Tweakert2020 • 24 juni 2024 08:52

Waar staat dat het "anonieme" enquete was?

Tweakert2020 @Hyronymus • 24 juni 2024 10:53

Dat zeg ik toch niet, ik zeg daarom vertrouw ik ze niet, omdat je mailadres bekend is.

Hyronymus @Tweakert2020 • 24 juni 2024 10:58

Wie schreef dit dan?

Daarom vertrouw ik de “anonieme” enquetes nooit.

Tweakert2020 @Hyronymus • 24 juni 2024 12:47

Het was een verwijzing in het algemeen naar zogenaamde anoniem enquetes

Hyronymus @Tweakert2020 • 24 juni 2024 15:02

Oh, ik was al bang dat het ergens toch on-topic was.

Dank je voor het verduidelijken!

Tweakert2020 @Hyronymus • 24 juni 2024 16:58

Het was wel degelijk on-topic.

BLACKfm @Tweakert2020 • 24 juni 2024 12:36

Dat je email adres bekend is (om de link te ontvangen) is nog tot daar aan toe, maar als je vervolgens een link ontvangt met een url die wel heel specifiek lijkt dan kun je er van uit gaan dat er niks anoniems aan is.

Keer een dergelijk iets vanuit het bedrijf waar ik werkte gehad. De url was niet generiek, en achteraf konden de resultaten tot op de vestiging worden gefilterd (want die werden per vestiging specifiek behandeld). Terwijl volledige anonimiteit was beloofd.

Tweakert2020 @BLACKfm • 24 juni 2024 12:48

Dit dus, fijn dat er iemand snapt wat ik bedoel

thefal @BLACKfm • 25 juni 2024 12:08

Een les die ik op de middelbare school heb geleerd. Een klasgenoot stuurde me een vragenlijst over zeer gevoelige onderwerpen zoals seksualiteit. Ze zei dat haar zus hier een onderzoek over hield dus ik wilde haar wel helpen. Achteraf bleek dat én de resultaten niet anoniem waren én dat de resultaten niet naar haar zus gingen maar naar haar. Fijn, dat je klasgenoot dmv een "prank" je hele seksverleden te weten is gekomen.

BLACKfm @thefal • 25 juni 2024 14:37

'Anoniem onderzoek'... N=1. Ja dat schiet niet op natuurlijk

.

Het lijkt onschuldig, en op dergelijke geraffineerde wijze gaan de 'phishers' tegenwoordig ook gewoon te werk. Die klasgenoot kwam niet toevallig uit India?

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland
Hackers

@Tweakert2020 • 24 juni 2024 08:52

Dit heeft niets te maken met de ingevulde data voor de enquête. Enkel dat de enquête is aangeboden aan terugbetalers.

Oon

@Tweakert2020 • 24 juni 2024 10:23

Als je je e-mailadres in moet vullen is het geen anoniemen enquete, dus dat was het in dit geval ook niet. E-mailadressen zijn gewoon persoonsgegevens, dus per definitie niet anoniem.

JoHnnY-Btm 24 juni 2024 09:03

en wat hebben we hier van geleerd? nooit enquêtes invullen

CH4OS

Datalek

@JoHnnY-Btm • 24 juni 2024 10:20

Want dat zorgt ervoor dat de ethic hacker niet heeft kunnen zien naar wie het DUO de enquête gestuurd heeft?

JoHnnY-Btm @CH4OS • 24 juni 2024 10:26

nee, maar zelf een actie nemen om niet nog meer gegevens af te staan dan is het NIET invullen al een stap om de hacker(s) op een incompleet spoor te brengen

CH4OS

Datalek

@JoHnnY-Btm • 24 juni 2024 10:29

Want als je studiefinanciering aanvraagt heb je geen 'Mijn DUO' omgeving, waarop je moet inloggen? Al log je in met DigiD, dan nog kan men via DigiD het email adres achterhalen, dus ook al geef je het niet zelf op, heb je het elders wel nodig. Je kunt de verantwoordelijkheid dus niet bij de gebruikers neerleggen, zoals je met jouw berichten wel lijkt te suggereren. Het is de taak van het DUO om de gegevens op de juiste manier te beschermen. Hoewel je dus inderdaad ergens kan zeggen dat iemand niet zoveel gegevens moet delen, moet je in sommige gevallen dus wel, wat hier best van toepassing kan zijn.

[Reactie gewijzigd door CH4OS op 22 juli 2024 15:48]

WokBoy

@JoHnnY-Btm • 24 juni 2024 09:19

en wat hebben we hier van geleerd? nooit enquêtes invullen

Nee, je zou moeten leren dat je erg voorzichtig moet zijn met je eigen gegevens - bij voorkeur houd je een apart, onherleidbaar adres per account aan. Onmogelijk voor de meeste mensen, helaas. Ook zouden we moeten leren dat onvoorzichtig rondstrooien van PII hardhandig bestraft zou moeten worden, en dat je als organisatie alleen zou moeten werken met leveranciers de dit ook serieus nemen,

Helaas, uiteindelijk zijn er geen incentives om te veranderen voor degenen die dat kunnen (hier DUO en Survalyzer) en veel te weinig mogelijkheden en te lastige maatregelen voor degenen die het zouden willen (hier de schuldenaren).

Edit voor de duidelijkheid: de mail is al verstuurd, met het adres dat DUO al heeft. Het wel of niet invullen van de enquete maakt hier geen verschil meer.

[Reactie gewijzigd door WokBoy op 22 juli 2024 15:48]

Nijl @WokBoy • 24 juni 2024 09:56

Dat is trekken aan een dood paardje. Vanavond vullen ze bij de supermarkt weer een formuliertje in met al hun gegevens om een gratis chocoladereep te scoren.

MennoE @Nijl • 24 juni 2024 11:32

Oh lekker, welke supermarkt is dat?

CH4OS

Datalek

@WokBoy • 24 juni 2024 10:47

Nee, je zou moeten leren dat je erg voorzichtig moet zijn met je eigen gegevens - bij voorkeur houd je een apart, onherleidbaar adres per account aan. Onmogelijk voor de meeste mensen, helaas.

Want als je een apart email adres per applicatie of partij hebt, kan dat e-mail adres niet lekken, zoals nu dus is gebeurd? En wat als het email adres via bijvoorbeeld DigiD bij het DUO is gekomen? Het is dus een beetje kort door de bocht, misschien zelfs een beetje naïef om te denken dat adressen per accounts onherleidbaar kunnen zijn.

Ook zouden we moeten leren dat onvoorzichtig rondstrooien van PII hardhandig bestraft zou moeten worden, en dat je als organisatie alleen zou moeten werken met leveranciers de dit ook serieus nemen.

Wie zegt dat het komt doordat er onvoorzichtig is omgegaan met gegevens? Waar herleidt je dat uit, of dit slechts een aanname die je doet? Gegevens kunnen op vele manieren lekken, het is dus ook een beetje te kort door de bocht om te zeggen 'dat men maar zorgvuldiger moet zijn' en er anders 'hard gestraft' moet worden.

Helaas, uiteindelijk zijn er geen incentives om te veranderen voor degenen die dat kunnen (hier DUO en Survalyzer) en veel te weinig mogelijkheden en te lastige maatregelen voor degenen die het zouden willen (hier de schuldenaren).

Blijkbaar weet jij wat meer dingen die wij niet weten of zo? In Zwitserland gelden strengere privacy / AVG/GDPR regels dan hier in Nederland, dus als er al iets gaat gebeuren, zal dat ook wat strenger zijn dan hier het geval is. Vooralsnog heeft het geen enkele zin om als beste stuurman aan wal te willen staan, zeker als er verder nog geen details zijn.

pe0mot @JoHnnY-Btm • 24 juni 2024 11:16

We hebben geleerd dat we onze data niet aan derde partijden moeten geven.
Alle eigen systemen worden continu gemonitord en getuned, maar leveranciers hebben vaak alleen een verwerkersovereenkomst getekend.

Spacekonijn @JoHnnY-Btm • 24 juni 2024 14:11

Je zegt het gek scheerend maar je heb gelijk heel vaak zijn er data lekken via dat soort derde partijen die enquetes en reviews van webshop verwerken.

Voor mij is het simpel ik reageer op geen enkele enquete vul nergens een review in. En verklein mijn digitale footprint hierdoor

adje123 24 juni 2024 08:56

Ik denk dat het knapper is als je een lijst vindt van mensen die geen schuld hebben bij de DUO.

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland
Hackers

@adje123 • 24 juni 2024 09:02

Een valse suggestie.

In Nederland hadden eind 2023 1,6 miljoen huidige en voormalige studenten een studieschuld (bron).

Nederland telde begin 2024 bijna 18 miljoen inwoners (bron).

1,6 miljoen is een hoog getal, maar komt niet in de buurt van het aantal inwoners dat geen studieschuld heeft.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:48]

DieMitchell

@The Zep Man • 24 juni 2024 09:25

zijn dat ook echt schulden of worden schulden die nog kwijtgescholden (kunnen) worden als gift daar ook bij opgeteld? kan het artikel niet lezen ivm paywall.
Heb zelf namelijk ook redelijk hoge schuld vanwege het studentenreisproduct maar dat is straks ook "weg".

HikariMisako

@DieMitchell • 24 juni 2024 09:45

Ja, voordat jouw schuld is kwijtgescholden heb je nog een schuld staan en tel je als zodanig mee in de statistiek.

theduke1989 @The Zep Man • 24 juni 2024 09:48

Maar alle MBO1-2 leerlingen bijvoorbeeld kunnen lenen totdat ze een ons wegen. En hoeven niks terug te betalen, vandaar dat je ook veel ''studenten'' ziet die niks doen en blijven dan op niveau 1-2 hangen. Waarbij de rest wel gewoon moet terug betalen nadat ze naar MBO3-4 gegaan zijn.

Heb jouw bronnen niet gelezen, maar is dat meegerekend?

[Reactie gewijzigd door theduke1989 op 22 juli 2024 15:48]

remco8264 @theduke1989 • 24 juni 2024 09:54

Dat klopt niet helemaal. Voor mbo 1/2 is de prestatiebeurs inderdaad standaard een gift, ook als je geen diploma haalt. Maar als je daarbovenop nog leent, moet je dat wel terugbetalen.

Scholen mogen het trouwens aan DUO doorgeven als een niv 1/2-student langer dan 5 weken ongeoorloofd afwezig is. De beurs wordt dan alsnog een lening.

[Reactie gewijzigd door remco8264 op 22 juli 2024 15:48]

Artimunor 24 juni 2024 09:20

voor mij staat dit bericht boven het volgende bericht:

.Adv - IT'er bij de overheid: wat zijn de voordelen ten opzichte van de private sector?

ik denk dat men beter op deze link van dit artikel kan klikken dan die advertentie om daar achter te komen

Choasmarkk 24 juni 2024 14:32

Kan deze ethische hacker mijn studieschuld ook op 0 zetten?

drakiesoft @Choasmarkk • 24 juni 2024 18:24

Heb moeite met "ethische hacker".
Als het een willekeurig iemand is die heeft lopen neuzen, dan is dat wat mij betreft ook gewoon strafbaar. Hij heeft immers bewust gezocht naar lekken en jouw gegevens ongevraagd, zonder toestemming kunnen inzien.

Laat staan dat het bedrijf zelf security controles had moeten uitvoeren of experts in moeten huren.

Choasmarkk @drakiesoft • 24 juni 2024 19:54

Een hacker als dit test toch juist expres websites op lekken? Om ze vervolgens aan te geven, niet te exploiteren. Een soort web-Robin Hood

drakiesoft @Choasmarkk • 25 juni 2024 07:05

Als die persoon dat van te voren is overeen gekomen, het liefst professioneel. Anders moet ie met z'n poten van andermans spullen afblijven.

djwice

24 juni 2024 19:55

Als Zwitsers bedrijf zijn gegevensbescherming en informatiebeveiliging voor ons van bijzonder belang, hetgeen wij hebben aangetoond met de ISO 27001-certificering.
Onze maatregelen doorstaan zelfs de strengste audits van de financiële sector of de gezondheidszorg en voldoen aan de gestelde normen.

Aldus Survalyzer
Ik denk dat Survalyzerhier doelt op HIPAA (medische gegevens) en PCI-DSS (crédit card gegevens) bedoelen, en dat de cloud diensten die Survalyzer gebruikt om hun dienst te verlenen daar aan voldoen, mist goed geconfigureerd.

[Reactie gewijzigd door djwice op 22 juli 2024 15:48]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (84)

Sorteer op:

Weergave: