Klantdata Belgische verzekeraars zijn gestolen, mogelijk door menselijke fout

Een hackersgroep heeft naar eigen zeggen toegang verkregen tot de klantgegevens van Belgische verzekeraars. Mogelijk zijn de gegevens gelekt door een menselijke fout. Klanten van Belfius, DVV, CDA, P&V Verzekeringen en Schyns Assurances zijn getroffen.

De gegevens die de hackersgroepering Killsec in handen heeft, zijn niet gestolen via de systemen van de verzekeraars zelf, maar via Penbox, een bedrijf dat klantgegevens verwerkt. Dat meldt de Vlaamse krant Het Laatste Nieuws. Naar verluidt gaat het niet om een hack, maar zijn de gegevens door een menselijke fout publiekelijk gemaakt.

Killsec beweert in een Telegram-kanaal dat het gevoelige data in handen heeft, waaronder inloggegevens en contactinformatie. De hackersgroep stelt de informatie te openbaren als de verzekeringsmaatschappijen geen contact opnemen om een overeenkomst te bereiken. Dit wekt de suggestie dat de groepering uit is op losgeld.

Volgens verzekeraar P&V zijn er geen inloggegevens en contractgegevens gelekt, maar gaat het om een 'beperkte dataset uit 2023'. Die bevat wel persoonlijke gegevens zoals namen en adressen van een 'beperkt aantal klanten', zegt de verzekeraar tegen HLN. De lekken bij Belfius, DVV en CDA kwamen vorige week al naar buiten. Het is niet duidelijk hoe groot de omvang van de datadiefstal precies is.

Reacties (63)

D.Ramakers

11 september 2024 11:24

Het wordt eens tijd dat hier straffen aan gekoppeld worden EN financiële compensatie naar de slachtoffers.
Bij de vorige hack van Limburg.net waren mijn gegevens ook al op de markt gekomen. Elke dag krijg ik sindsdien wel een spambericht via telefoon dat mijn paypal gehackt is... geen toeval lijkt me.

En als mensen er dan intrappen zijn ze wel zelf de dupe. Niet diegene die de gegevens heeft kwijtgeraakt...

Polderviking

@D.Ramakers • 11 september 2024 11:32

Denk je niet dat je elk bedrag dat je als schadevergoeding krijgt niet gewoon gaat terugzien in verzekeringspremies?
Lijkt me niet zo simpel dit.
Schadebepaling alleen al is lastig.

[Reactie gewijzigd door Polderviking op 11 september 2024 11:33]

vanaalten @Polderviking • 11 september 2024 11:34

Op zich wel, maar mogelijk dat je dan wat positieve effecten van concurrentie ziet: als je je beveiliging goed op orde hebt hoef je minder schadevergoedingen te betalen, kan je lagere premies rekenen en daarmee meer klanten binnenhalen.

Maar dat is de theorie van marktwerking. Of dat in de praktijk ook zo uitpakt...

Polderviking

@vanaalten • 11 september 2024 11:45

Het was meer een algemeen sentiment.
Je kan een schadevergoeding krijgen, maar wat doe je daar mee.
Als die heel hoog is gaat 't bedrijf er aan kapot en krijg je niks, en als die behapbaar is kan je er eigenlijk niks mee en wordt je product duurder.
En is nog de vraag welke schade je feitelijk hebt met welke data er gelekt wordt.

Dit alles gaat er ook van uit dat er echt wat schortte aan beveiliging hier, wat op zichzelf een aanname is.
Je kan jezelf tot achter je oren omgeven met security producten en training maar als mensen die gewoon beroepsmatig toegang hebben tot bepaalde datasets al dan niet onbedoeld de mist in gaan is dat toch gewoon allemaal ten spijt.

[Reactie gewijzigd door Polderviking op 11 september 2024 11:56]

Calypso @Polderviking • 11 september 2024 12:10

De andere kant: als je als bedrijf er mee wegkomt om een melding te doen, sorry te zeggen, en met een paar kleine aanpassingen door te gaan op de manier waar je bezig was, wat is dan de motivatie om je beveiliging echt op orde te krijgen, en het veilig behandelen van klantgegevens echt in je bedrijfsDNA te krijgen?

Mensen maken fouten - dat zal altijd zo blijven. Maar als 1 (kleine) fout kan zorgen voor zo'n flink datalek dan klopt er iets niet aan je procedures binnen het bedrijf in mijn ogen. En dat mag best gevolgen voor een bedrijf hebben.

Polderviking

@Calypso • 11 september 2024 12:13

Natuurlijk moeten er gevolgen aan zitten maar ik zie dat toch liever in de vorm van verplichte audits ofzo. (die het bedrijf dan uiteraard moet bekostigen)
Want dan stuur je met je represaille direct aan op verbetering in plaats van dat er alleen maar een wat valuta van eigenaar wisselt.

[Reactie gewijzigd door Polderviking op 11 september 2024 12:16]

Frame164 @Calypso • 11 september 2024 14:16

Consumenten kunnen gewoon overstappen als een bedrijf slecht presteert. Dat is het meest krachtige wapen.

Tozz @vanaalten • 11 september 2024 15:46

Kanttekening is dat een partij die 't beter op orde heeft wellicht veel meer uitgeeft aan security met de daarbij horende hogere premies.

Links of rechts om betaal je 't toch zelf. Die security komt niet kostenloos op een niveau dat jij graag ziet.

vanaalten @Tozz • 11 september 2024 16:29

Dan ga je er van uit dat de kosten voor een datalek hetzelfde zijn als de kosten voor betere beveiliging. Dat zou nu best kunnen (sterker, zou mij niet eens verbazen als de kosten voor een datalek minder zijn...) en dan is dat iets wat je met hogere boetes beter kan reguleren.

Als hogere boetes resulteert in 15% premiestijging en meer investeren in beveiliging slechts 3% premiestijging doet, dan zou marktwerking hopelijk z'n werk doen.

Tozz @vanaalten • 12 september 2024 08:59

Klopt dat het kan zijn dat boetes hoger of lager zijn dan het investeringsbedrag. Ik betwijfel echter of hogere boetes werken. Het is al heel lang bekend dat hogere boetes amper tot geen positief effect hebben voor het voorkomen van overtredingen. Wat werkt is een hogere pakkans.

Komt bij dat je nooit elk datalek zal kunnen voorkomen. Een beetje maatwerk qua boetebedrag zou wel wenselijk zijn. Een organisatie dat een goed beleid heeft en voldoende maatregelen heeft maar desondanks gewoon pech heeft (bv. slachtoffer van een gerichte aanval met een zero-day exploit) zou je niet kapot moeten beboeten.

Thomassassin @Polderviking • 11 september 2024 11:37

Wel nogal paradoxaal dat de verzekeraar, die hogere premies vraagt, zelf dan slachtoffer is van een hacking.
Dus eenvoudig is het inderdaad niet.

wooha @Thomassassin • 11 september 2024 18:45

Als het probleem zat bij een leverancier van een marketingcampagne in 2023, dan heeft de hack niet direct bij de verzekeraar plaatsgevonden. Natuurlijk zijn ze verantwoordelijk voor de keuze van leverancier en eventueel voor het opdracht geven aan de leverancier om gegevens na de campagne te wissen.

Maar welk legitiem belang heeft de leverancier om deze persoonsgegevens zo lang te bewaren? Er bestaan wetten tegen het nodeloos lang bewaren van persoonsgegevens. Daar moet een marketingpartij over nagedacht hebben.

Blokker_1999

België
Datalek
Beveiliging en antivirus
Privacy

@Polderviking • 11 september 2024 11:41

Nee, dat denkt ik niet.

Want als deze maatschapijen hun prijzen hierdoor verhogen, worden ze minder competitief op een toch wel competitieve verzekeringsmarkt. Dat kunnen ze dus niet zomaar doen.

Polderviking

@Blokker_1999 • 11 september 2024 11:50

Ik niet hoe vaak jij je verzekeringen onder de loep neemt maar ik spring voor een paar euro niet gelijk die overstapmolen in.
Dus of marktwerking ze op die manier gelijk de das om zou doen vraag ik me sterk af.

MarcMK2 @Polderviking • 11 september 2024 13:41

Ik ben vooral bang dat als er 1 grote verzekeraar is die een hele grote uitkering moet doen en daardoor de prijzen moet verhogen met bvb 10 euro dat de andere verzekeraars de prijzen met 5 euro zullen verhogen.
Hierdoor is de andere verzekeraar nog competatief en heeft extra winst.

Manderlay1 @Polderviking • 11 september 2024 18:28

Jaarlijks sinds een verzekeraar die 250€ duurder was dan de marktprijs. Ik spreek hem erop aan 'servicekosten' was zijn uitleg. Dit ging over 1 autoverzekering! Jaar erna hadden we daar niets meer lopen.

mbbs1024 @Polderviking • 11 september 2024 21:31

Het is ook niet makkelijk om verzekeringen met elkaar te vergelijken wat betreft dekking van risico's en het feit dat de ene maatschappij moeilijker doet bij uitbetaling van schade dan een andere.
Dan moet je je al snel door honderden pagina's algemene en bijzondere voorwaarden werken, die ook nog eens jaarlijks wijzigen.
En het is niet noodzakelijk de dure verzekering die de beste dekking en service biedt.
Zo heeft mijn dochter een zeer goedkope omnium autoverzekering, en haar man eentje die een stuk duurder uitvalt.
Hun beide wagens werden totaal vernietigd omdat een buitenlandse wagen ze op hun oprit zodanig aangereden heeft, dat ze beiden total loss waren.
Na 2 jaar heeft mijn dochter van de goedkope verzekering haar vergoeding ontvangen, terwijl haar man die een dure verzekering heeft, nu na 6 jaar nog steeds geen enkele vergoeding heeft ontvangen,

Vampyre @Polderviking • 11 september 2024 12:25

Zolang er genoeg verzekeraars zijn met onafhankelijke en concurrerende prijzen zou een boete of schadevergoeding voor een of enkele van hen niet moeten leiden tot hogere premies van allemaal.
Dat is de theorie in ieder geval.

dasiro @Polderviking • 11 september 2024 12:36

2 jaar lang hen verbieden om divident uit te betalen aan hun aandeelhouders en de prijzen van hun producten bevriezen.

Tozz @dasiro • 11 september 2024 15:47

En dan? Betalen ze na 2 jaar dubbel dividend uit.

CPV @Polderviking • 11 september 2024 13:17

Na alle reacties waarom een boete niet gaat helpen: de licentie intrekken en failliet verklaren.

Jeroen73 @Polderviking • 11 september 2024 13:27

Lijfstraffen dan maar? Kost het de verzekerde niets en er gaat toch een afschrikkende werking van uit. Eerste overtreding met een rietje, daarna zweep en stok. Live streaming optioneel.

HenkEisDS @D.Ramakers • 11 september 2024 11:54

Dat kun je in de toekomst bewijzen door unieke emailadressen te gebruiken.

Als je een eigen domeinnaam hebt kun je een catchall instellen zodat mail naar elk adres gewoon binnenkomt. Ik heb zelf info@blabla.nl, maar gebruik voor elke organisatie orgdomeinorgtld@blabla.nl. Krijg je ineens spam op bijvoorbeeld limburgnet@blabla.nl dan weet je de bron van het lek.

Gebruik je gmail dan kun je alias+label@gmail.com gebruiken. Dus henk+limburgnet@gmail.com.

D.Ramakers

@HenkEisDS • 11 september 2024 13:26

Ik hoef het niet te bewijzen. Daar ben ik niets mee daar er geen enkele rechtelijke acties aan vast hangen voor de consument.

Ik heb op dit moment wel alias adressen voor alles en nog wat.

Echter mijn personalia, als zijnde ID bewijzen etc zijn toch allemaal hetzelfde...

Mijn ID-nummer veranderd nooit meer, dus als deze bij de eerste hack gevonden is zoals bij Limburg.net kun je van alles... Dit is een zeer schadelijke vorm vind ik zelf en hoop dat de Belgische staat hier ook maatregelen in gaat nemen en elke keer een nieuw nummer gaat uitgeven wanneer er een nieuw ID bewijs afgegeven wordt.

Enkel zo kan je ID theft tegengaan denk ik.

Finniemc @D.Ramakers • 11 september 2024 21:37

Mijn ID-nummer veranderd nooit meer, dus als deze bij de eerste hack gevonden is zoals bij Limburg.net kun je van alles... Dit is een zeer schadelijke vorm vind ik zelf en hoop dat de Belgische staat hier ook maatregelen in gaat nemen en elke keer een nieuw nummer gaat uitgeven wanneer er een nieuw ID bewijs afgegeven wordt.

Toch even een opmerking hier want het is bijlange niet zo simpel: er is het ID-kaartnummer dat verschilt bij elke nieuwe kaart en je rijksregisternummer. Een rijksregisternummer hangt samen met je geboortedatum dus zomaar bij elke nieuwe kaart ook een nieuw rijksregisternummer uitreiken is met de huidige limieten niet mogelijk (want 11 cijfers - 6 voor geboortedatum, 3 voor volgorde en M/V en 2 voor het controlegetal). Daarbij is fraude met enkel een rijksregisternummer zeldzaam. In de meeste gevallen is er, op zijn minst, een kopie van de identiteitskaart bij betrokken.

Ik zeg niet dat het onschadelijk is, ik ben ook een slachtoffer van de achteloosheid van Limburg.net maar we moeten wel alles correct kaderen.

Als je je echt zorgen maakt kan je op https://www.ibz.rrn.fgov.be/nl/rijksregister/mijn-dossier/ nakijken wie er op je rijksregisternummer gezocht heeft

[Reactie gewijzigd door Finniemc op 11 september 2024 21:49]

D.Ramakers

@Finniemc • 11 september 2024 21:42

ja bedoelde het rijksregisternummer.
Dat dit nummer niet makkelijk te wijzigen is in deze opzet snap ik ook wel. Maar met dit nummer geven ze je meteen al je geboortedatum, wat in mijns inzien al fout is. Hier heeft niemand zaken mee.

Dit nummer moet gewoon at random zijn van 11 nummers niets met je geboortedatum of wat dan ook gelinkt zijn.

Mvg

[Reactie gewijzigd door D.Ramakers op 11 september 2024 21:43]

Polderviking

@HenkEisDS • 11 september 2024 12:00

Ik doe dit ook, maar volgens mij kan je hier verder juridisch gezien weinig mee als je niet echt serieuze complexiteit toevoegt.

Als ik opeens spam op albertheijn@domein.ext krijg is dat niet zomaar bewijs dat er wat bij de AH niet goed is gegaan. Het is niet bepaald een onmogelijk te raden mailadres.
En het gebeurd, ik heb in het verleden absoluut spam gehad op mailadressen die ik zelf niet gebruikt heb.

[Reactie gewijzigd door Polderviking op 11 september 2024 12:07]

HenkEisDS @Polderviking • 11 september 2024 12:24

Goed punt. Wat als je limburgnet528485@ pakt? Met zo’n randomnummer erachter moet het toch wel echt 100% uitgesloten zijn?

GertMenkel

Beveiliging en antivirus

@Polderviking • 11 september 2024 12:38

Een oplossing daarvoor is het gebruik van willekeurige mailadressen. albertheijn@domnein.nl is te raden, maar 9uczksuYLv6ZKm@domein.nl niet. Dat staat wellicht wel gek, maar dan kun je nog altijd woordcombinaties gebruiken (plasma.pounce.postal@domein.nl). In theorie kun je er nog iets heel moeilijks van maken (website + geheime salt hashen en daarvan een mailadres maken) maar dat is meer moeite dan iemand ooit gaat steken in je aanklacht over een schadevergoeding hiervoor.

Helaas moet je dan wel weer gaan bijhouden welke partijen welk mailadres hebben, maar als je je mail nooit weggooit zou je daar met een zoekopdracht in je mailbox achter moeten kunnen komen.

De naam@domein.nl-constructie levert je soms ook rare blikken op ("nee, ik vraag niet om ons mailadres, jouw mailadres") en dan heb je nog sites als Samsung die weigeren een mailadres met hun merknaam te accepteren als login. Dan werkt een willekeurig-ogend mailadres toch een stuk beter, want wie kent er niet iemand die qifeha133gmail.com heeft omdat zijn naam niet meer beschikbaar was.

WillySis

Privacy

@D.Ramakers • 11 september 2024 12:05

Straffen opleggen heeft alleen tot gevolg dat bedrijven minder geneigd zijn om datalekken te melden (waar overigens wel straffen op staan).
Een verplichte financiële compensatie heeft eigenlijk hetzelfde resultaat. Het is daarnaast moeilijk te bepalen wat de (werkelijke) schade is en hoe hoog de compensatie moet zijn. Bovendien is vaak niet duidelijk welke gegevens precies zijn gelekt. Boetes zijn overigens al mogelijk. De AP kan besluiten dat de beveiliging van de data onvoldoende was en daar een waarschuwing of boete aan koppelen.

Wanneer er financiële compensaties verplicht worden, dan zullen de verzekeraars daar vast op inspringen en met verzekeringen tegen de kosten daarvan komen. De kosten van die verzekering zal men uiteraard in de prijzen verrekenen. In dit geval lullig dat het nu net een aantal verzekeraars zijn die met een datalek zijn geconfronteerd.

Majestici @D.Ramakers • 11 september 2024 12:27

Ik denk dat het eerder tijd wordt dat EULA roofying per EU of Nationale wet verboden wordt. Dat standaard aanstaat dat je bij gebruik van elke service instemt met het verwerken van je klantgegevens door derden, is naar mijn mening crimineel en een verkrachtersmentaliteit (zoals Louis Rossmann het omschrijft).

Ons modern denkwerk doet teveel aan "oplossing zoekt probleem". Eerder moet de mentaliteit om, en moeten de waakhonden, instanties en overheden hun bevolking beter beschermen.

Beter eisen, en niet zoals ik hieronder lees allerlei copes en clauses vinden hoe ze daar niet aan kunnen voldoen, of hoe het zinloos is ze te straffen. Als de data niet elders opgeslagen wordt, of "verwerkt" wordt, is het lek er ook niet.

[Reactie gewijzigd door Majestici op 11 september 2024 12:29]

LuCarD @D.Ramakers • 11 september 2024 12:59

Hoe klinkt een boete van maximaal 20miljoen of max 4% van de wereldwijde jaaromzet?

Dat is namelijk de boete die opgelegd kan worden als je slecht omgaat met persoonsgegevens.
https://www.autoriteitper...t%20van%20aandacht%20zijn.

D.Ramakers

@LuCarD • 11 september 2024 14:07

Daar ben ik als consument niets mee. Ik leid de schade, niet de staat die het geld int...

Als consument ben je de dupe, als consument moet je de gegevens van je CC etc gaan wijzigen. Dat kost geld.

En de verzekeraars zijn Belgische verzekeraars, de wetgeving in NL is niet van toepassing.

[Reactie gewijzigd door D.Ramakers op 11 september 2024 14:08]

LuCarD @D.Ramakers • 11 september 2024 14:55

Boete voor Belgie is hetzelfde als voor Nederland dus ook 20miljoen of max 4% Het is namelijk europese wetgeving.
Artikel 83: https://eur-lex.europa.eu...R0679&from=EN#d1e6212-1-1

Daar staat trouwens ook in dat je al slachtoffer recht hebt op vergoeding als je schade hebt geleden. Hoeveel schade heb je geleden door DIT lek?
Artikel 82: https://eur-lex.europa.eu...R0679&from=EN#d1e6212-1-1

Aangezien het nagenoeg ommogelijk is om een direct verband te kunnen leggen tussen een lek en verhoogde spam of oplichting is het redelijk lastig om je recht te halen.

mancide @D.Ramakers • 11 september 2024 13:24

Sinds dit jaar heeft IVAGO in Gent zijn toegangssysteem voor de containerparken aangepast.
Vroeger had je een badge (geen terugkoppeling naar een persoon). Nu moet je je identiteitskaart scannen en wordt je rijksregisternr uitgelezen.
Dit is reeds in strijd met de GDPR.
Daarnaast wordt zonder toestemming je nummerplaat gescanned en opgeslagen want even later wordt je nummerplaat gebruik voor de weegbrug.

Net na het limburg.net debacle doet IVAGO net hetzelfde en hebben ze de arrogantie van te denken dat het hen niet zal overkomen.

D.Ramakers

@mancide • 11 september 2024 14:14

En hier is geen AVM om daar boetes op te geven... Weer een sterk staaltje van de neus ophalen bij alles wat door overheid gesubsidieerde instanties voor elkaar kunnen krijgen...

Verwijderd @D.Ramakers • 11 september 2024 13:35

-knip- wacht even, nog een keer het artikel gelezen. Wat ik zei was onzin.

[Reactie gewijzigd door Verwijderd op 11 september 2024 13:37]

mitch2kbe @D.Ramakers • 11 september 2024 13:42

Straffen zijn voorzien in de AVG wetgeving als blijkt dat de verwerker onvoldoende maatregelen heeft genomen om de gegevens te beschermen of het datalek niet hebben gemeld zoals het hoort: https://www.gegevensbesch...erkings-verantwoordelijke

Volgens de AVG heeft een benadeelde ook recht op een schadevergoeding als blijkt dat de AVG niet is gerespecteerd: https://eur-lex.europa.eu...=CELEX:32016R0679#page=81

D.Ramakers

@mitch2kbe • 11 september 2024 14:15

Dit wist ik niet. Ga ik eens lezen. Bedankt!

Frame164 @D.Ramakers • 11 september 2024 14:13

Sys admins, developers en testers die fouten hebben gemaakt zouden inderdaad gestraft moeten worden voor dit soort fouten.

jerisson @D.Ramakers • 11 september 2024 16:49

De PayPal spam kan weldegelijk toeval zijn. Ik kreeg sinds dezelfde periode dezelfde spam telefoons, maar ik sta niet in het lek van Limburg.net.

In dit geval: wie straffen we? De verzekeraar, het bedrijf van wie de verzekeraar een dienst afneemt, of de ontwikkelaars die voor dit bedrijf werken en dus mogelijk (onbedoeld) een fout hebben gemaakt. Veel van onderstaande berichten lijken de verzekeraar te willen straffen?

mbbs1024 @jerisson • 11 september 2024 22:09

De verzekeraars kunnen die boete en schadevergoedingen dan verhalen op hun IT leveranciers.
Dat is een gebruikelijke praktijk in het verzekeringswezen, ze betalen de schade uit aan hun klanten, en vervolgens wordt dat indien mogelijk verhaald op de partij die de schade veroorzaakt heeft, ze hebben daar een legertje advokaten en juristen in dienst.

PredCaliber2 11 september 2024 11:23

Mooi altijd dat verzekeraars dan ALSNOG alles bij elkaar liegen tegenover klanten dat er maar een 'beperkte dataset uit 2023' is gestolen.

Buiten de afpersing van de hacker groep, zou elke klant ze ALSNOG moeten aanklagen.

Webgnome @PredCaliber2 • 11 september 2024 11:27

En wat schieten we daar als klant mee op dan? We moeten de hackersgroep vervolgen en daar wat mee doen. De persoon die dit gelekt heeft, per ongeluk of niet, daarvoor verantwoordelijk stellen.

kaas-schaaf @Webgnome • 11 september 2024 11:33

De persoon die dit gelekt heeft, per ongeluk of niet, daarvoor verantwoordelijk stellen.

Maar al te vaak is het ontstaan van datalekken een ander probleem ("Het moet nu af", "Extra controle is maar ingewikkeld en duur") dus ik vind dit nogal kort door de bocht.

Webgnome @kaas-schaaf • 11 september 2024 11:34

Het is net zo kort door de bocht dan het aanklagen van de verzekeraar die hier nu ook slachtoffer van is. Wat gaat dat onder de streep oplossen?

kaas-schaaf @Webgnome • 11 september 2024 11:40

Niets, maar je stelt het als een oplossing dus ik geeft een tegenargumentatie. mogelijk bedoelde je het als vraag maar het vraagteken ontbreekt.

De verzekeraar kan gedwongen worden te investeren in zijn personeel en organisatie, en met hen de omgang met data te verbeteren, dat gebeurt niet door een enkele zondebok te straffen. Eerder door de verzekeraar verantwoordelijk te houden. Beter zou zijn om dit te verplichten vooraf (voorkomen vs genezen idee).

[Reactie gewijzigd door kaas-schaaf op 11 september 2024 11:40]

mbbs1024 @Webgnome • 11 september 2024 22:17

Het is dan volgens mij nog korter door de bocht om de klant dan maar te laten oprdraaien voor de schade die hij heeft omdat zijn gestolen data misbruikt wordt, terwijl diegenen die de data niet goed beschermd hebben vrijuit gaan.
De klant heeft geen contractuele verbintenis met de partners van de verzekeringsmaatschappij, hun enige aanspreekpunt is de verzekeringsmaatschappij, die vervolgens de schadeclaim van klanten en boete van de overheid kan verhalen op hun onzorgvuldige partner.
Verzekeringsmaatschappijen hebben daarvoor wel een legertje juristen in dienst, want dat is een gedeelte van hun core business.

Frame164 @Webgnome • 11 september 2024 14:14

Als jij per ongeluk een fout maakt op je werk dan accepteer je ontslag en eventueel zwaardere straffen?

vanaalten @PredCaliber2 • 11 september 2024 11:32

Ik kan het gemist hebben want volg dit nieuws niet zo, maar waar haal je uit dat er meer is gestolen dan een beperkte dataset uit 2023?

Als klant aanklagen is denk ik moeilijk. Want waarvoor, precies? "Slordig omgaan met mijn gegevens" is denk ik niet goed wettelijk te onderbouwen. Niet voldoende beveiligen is nogal subjectief en menselijke fouten zijn niet te voorkomen.

Ben het zeker wel eens met de stelling dat beheerders van klantgegevens misschien harder aangepakt moeten worden bij gebrekkige beveiliging, maar hoe dat precies juridisch aan te pakken zou ik zo snel niet weten.

Verwijderd @PredCaliber2 • 11 september 2024 11:38

En dan moet JIJ aantonen dat je gegevens misbruikt zijn/worden. Aangezien dat (nog) niet het geval is, heb je weinig te winnen....

Blokker_1999

België
Datalek
Beveiliging en antivirus
Privacy

@PredCaliber2 • 11 september 2024 11:41

Niets belet een klant om ze aan te klagen.

joyrider3774 11 september 2024 11:29

het lijkt me alsof ze het datalek weer downplayen omdat er geen contract en inloggegevens gestolen zijn maar de rest van die data is even belangrijk. Ik vind ook dat hier straffen op moeten komen het is altijd hetzelfde ze gebruiken 3de partijen om onze gegevens te verwerken en die maken dan fouten

Ra_gdd

11 september 2024 11:41

Anders een verzekering afsluiten tegen dat je data bij de verzekeraar wordt gestolen

Er wordt gewoon te slordig omgesprongen met klantgegevens.
Paar keer bij advocaat, notaris, dokter, tandarts hun PC moeten fixen.

Opslag niet geëncrypteerd
Antivirus a la free AVG of AVAST
Verouderde Office die EOL is.
Backup zullen ze morgen wel maken.
Gevoelige data zonder encryptie op Google Drive of Onedrive.
Als ze NAS hebben is gedeelte map erop zonder paswoord.

Het mag allemaal geen geld of moeite kosten en dan krijg je dit.

Robbedem @Ra_gdd • 11 september 2024 13:12

Een notaris, tandarts, dokter,... heeft dan ook helemaal niet de nodige kennis om zo'n zaken op orde te houden.
En als zelfstandige dit extern laten beheren is absoluut niet te betalen.

Ik zie hier eigenlijk geen mogelijke oplossing.
Behalve misschien dan een systeem/platform dat door de overheid beheerd wordt en de zelfstandigen een bijdrage moeten leveren.

deludi @Robbedem • 11 september 2024 13:29

Dat ben ik niet met je eens.
Tandartsen, notarissen en dokters hebben hoge uurtarieven, die kunnen dat makkelijk betalen.
Een EntraID gekoppelde werkplek is relatief betaalbaar ook voor MKB-ZZP.

Ra_gdd

@Robbedem • 11 september 2024 13:34

Hi

Deels heb je gelijk erin.
Maar als ik op de gevaren wijs is antwoord vaak we zien wel of ik heb nog geen problemen gehad.
Als je spreekt over 15 euro per jaar voor een Kaspersky AV licentie, waarom betalen als je AVG free hebt.
Als ik uitleg dat Kaspersky een betere detectiegraad heeft, denken ze dat ik iets zit te lullen om 15 euro in mijn zak te steken.
Hun neefje die 1% meer weet van pc's dan hen zegt dat AVG goed genoeg is...

Bij advocaat gebruiken ze software van een bepaalde firma die ook de pc's (Lenovo of HP of Dell) + Microsoft Office 365 hebben geinstalleerd en ze gebruiken Microsoft Defender als anti-virus.
Terwijl Kaspersky met kop en schouders uitsteekt als de betere anti-virus.
Is het luiheid van die firma of onwetendheid

Dikwijls dat ik in m'n haren krab en zeg, moest dit mijn bedrijf zijn, dan slaap ik nauwelijks wetende dat er geen backups zijn en geen voldoende beveiliging..

djack 11 september 2024 11:47

Systemen en processen zijn zo complex tegenwoordig. De beveiliging op deze systemen en processen zorgt voor extra processen en systemen.... Vaak zit hier een pak autamatisatie tussen en een pak externe partijen.
Dit is gewoon kei moeilijk om helder te krijgen en om 100% dicht te krijgen, zeker als je data dan nog eens extern laat behandelen.
Niet dat we er ons moeten bij neer leggen maar het zal altijd een kat en muisspel zijn. Soms wint de slechterik en komt het in het nieuws maar zeer vaak verliezen ze en horen we er niets van.
En bij elk nieuwsflits denken we nu weeral, die hadden hun zaakjes niet in orde. Let's blame somebody.

Majestici 11 september 2024 12:10

Alles is opt-out tegenwoordig, maar ze gaan steeds slordiger met je data om. Je wordt verplicht je bij alles in te schrijven, en doen vreselijk lastig als je de machtigingen niet geeft je data te gebruiken.

Je voelt je echt don quichot als je ook maar een klein beetje om de veiligheid van je data geeft.

En alles tracked je data. Van games, tot je auto, je wasmachine en je AH klantenkaart. En probeer maar eens opt-out te vinden.

De gegevens die de hackersgroepering Killsec in handen heeft, zijn niet gestolen via de systemen van de verzekeraars zelf, maar via Penbox, een bedrijf dat klantgegevens verwerkt.

Precies de reden waarom ik momenteel bij ELKE medisch contract of UELA alles lees. Dit soort clausules staan er heel vaak in. En je kunt daar bezwaren voor indienen. Wel uitermate irritant dat dit dus standaard opt-in is, en je zelf de opt-out moet vinden, zoals ik zei.

[Reactie gewijzigd door Majestici op 11 september 2024 12:22]

kodak

Datalek
Beveiliging en antivirus
Privacy

11 september 2024 13:10

De verwoording dat het om een menselijke fout zou gaan is te makkelijk. Het suggereert namelijk dat er daarmee geen compromitatie van systemen zou zijn, maar de meeste compromitaties komt juist door menselijke fouten. Door bijvoorbeeld geen of slechte beveiliging toe te passen of security bugs te veroorzaken, waardoor onbevoegden en criminelen in systemen kunnen komen of aan delen van systemen kunnen komen. Dat is voor mij een gecompromiteerd systeem hebben.

Er zijn hier natuurlijk omstandigheden te bedenken dat een persoon per ongeluk een harddisk heeft verloren, waar de gegevens dan kennelijk slecht van beveiligd waren. Of dat een persoon alle gegevens per ongeluk geupload heeft naar een of andere onveilig adres of systeem. Maar dan nog noem ik dat een gecomprimeerd systeem hebben. Het verwerken van de gegevens gaat dan immers niet volgens de nodige bescherming om deze binnen de systemen van het bedrijf te verwerken. Hooguit is het dan indirect door de criminelen gecompromiteerd, maar dat doet niets af aan het compromiterende wat een medewerker dan gedaan heeft.

Frame164 11 september 2024 14:17

Vraag aan alle experts hierboven: hoe garanderen jullie dat dit op jullie werk nooit kan gebeuren? En als het wel gebeurt, wat doen jullie dan?

evandj 11 september 2024 14:51

Gegevens van klanten zijn gelekt, degene die de fout gemaakt heeft krijgt een uitbrander en gaat verder met zijn dag, vraag me af dat zijn eigen gegevens ook gelekt zijn dan kan hij zien wat voor schade dit kan meebrengen. Het gebeurt de laatste tijd veel te veel en het is nooit iemand zijn schuld, het is een menselijke fout en voor mij hoeft niemand aan de schandpaal genageld te worden maar men gaat hier veel te licht over. Bedrijven moeten alles van u weten, zogezegd voor een optimale dienstverlening, tot uw gegevens op straat liggen en ja dat is dan het risico van het vak zeker. Ben je niet akkoord met de voorwaarden dan krijg je geen verzekering en als er dan iets misgaat dan was het de onderaannemer of de onderaannemer van de onderaannemer, systeem paraplu. Zo heeft er nooit iemand schuld.

Xfade 11 september 2024 16:38

Ben wel benieuwd wat die "menselijke fout" is. Daar zou je wellicht e.e.a. uit kunnen herleiden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (63)

Sorteer op:

Weergave: