Mogelijk juridisch onderzoek naar datalek Belgische spoorvervoerder

De Belgische spoorvervoerder NMBS heeft de wet overtreden bij de opslag van persoonsgegevens, zo heeft de Privacycommissie geoordeeld. Het onderzoek is overgedragen aan het Brusselse parket; mogelijk komt er een juridisch onderzoek.

NMBSDe Privacycommissie heeft zijn onderzoek naar het datalek bij de NMBS afgerond en zal het overdragen aan het Brusselse parket. Dat betekent dat er gerechtelijke vervolging kan worden ingesteld naar het handelen van de spoorvervoerder.

Het is nu aan de procureur van het parket om al dan niet vervolging in te stellen, maar voor de Privacycommissie staat vast dat de NMBS de privacywet heeft overtreden. Zo waren de gegevens niet goed genoeg beveiligd; er was geen enkele vorm van encryptie toegepast en iedereen kon de gegevens opvragen. Daarnaast heeft de NMBS volgens de Privacycommissie, de Belgische equivalent van het CBP, een wetsartikel over de 'eerlijke en rechtmatige verwerking van persoonlijke gegevens' overtreden.

Het is volgens de voorzitter van de Privacycommissie, Willem Debeuckelaere, voor het eerst dat in België een onderzoek naar een datalek wordt doorgespeeld naar een gerecht. Dat zegt hij tegen de Belgische krant Het Nieuwsblad. Dankzij het lek waren de persoonsgegevens van 700.000 NMBS-reizigers toegankelijk. Daaronder waren gegevens van ministers, ambtenaren van de Europese Commissie, personeel van ambassades en het Amerikaanse ministerie van Buitenlandse Zaken.

Het datalek, dat zich voordeed bij de internationale tak van de spoorvervoerder, kwam in december aan het licht, toen een link naar de gegevens online werd geplaatst. Aanvankelijk deed de NMBS voorkomen dat de gegevens maar korte tijd online stonden, maar in werkelijkheid stonden de gegevens al 'vele maanden' onbeveiligd online. Een woordvoerder van de spoorvervoerder wil niet inhoudelijk reageren.

Door Joost Schellevis

Redacteur

Feedback • 29-04-2013 09:25 16

29-04-2013 • 09:25

16

Lees meer

Hackers bemachtigen gegevens 83 miljoen mensen bij hack Amerikaanse bank
Hackers bemachtigen gegevens 83 miljoen mensen bij hack Amerikaanse bank Nieuws van 3 oktober 2014
Belgische Spoorwegen gaan treinen uitrusten met wifi
Belgische Spoorwegen gaan treinen uitrusten met wifi Nieuws van 4 juli 2014
Hackers kraken 'amateuristische' database Belgische rechtbank
Hackers kraken 'amateuristische' database Belgische rechtbank Nieuws van 10 maart 2014
Twee Russen opgepakt in Nederland voor 'grootste datalek ooit'
Twee Russen opgepakt in Nederland voor 'grootste datalek ooit' Nieuws van 26 juli 2013
Gerucht: datalek NMBS kwam door medewerker die op 'verkeerde knop' drukte
Gerucht: datalek NMBS kwam door medewerker die op 'verkeerde knop' drukte Nieuws van 4 januari 2013
Belg bouwt 'leak checker' voor NMBS-datalek - update
Belg bouwt 'leak checker' voor NMBS-datalek - update Nieuws van 2 januari 2013
'Lek op website NMBS blijkt veel groter'
'Lek op website NMBS blijkt veel groter' Nieuws van 29 december 2012
Mobiele ov-site iRail komt weer online
Mobiele ov-site iRail komt weer online Nieuws van 6 juli 2010
Meer producten en artikelen
Websites en community's Politiek en recht België

Reacties (16)

-Moderatie-faq
16
16
10
2
0
2
Wijzig sortering
SmokingCrop 29 april 2013 09:47
Geen enkele vorm van encryptie? Wie heeft dat in godsnaam gemaakt |:(
Dat is toch een van de basiselementen bij het houden van persoonsgegevens?
Blokker_1999
@SmokingCrop29 april 2013 10:47
Wie de lijst heeft aangemaakt is niet direct bekend, waarom de lijst is aangemaakt wel. De lijst met gegevens was bedoeld voor een externe firma die meewerkt aan de marketing van B-europe en helpt bij gepersonaliseerde mailinglijsten. Zij hebben dus toegang nodig tot de klanten van B-europe en blijkbaar vond iemand het een goed idee om de lijst gewoon via http op de website beschikbaar te stellen.

Spijtig genoeg heeft iemand ook de fout gemaakt om de link ooit aan een search engine te vertellen zodat deze lijst werd opgenomen in de index van die zoekmachine en later in andere zoekmachines zodat het bestaan uiteindelijk geen "geheim" meer bleef en iemand er toevallig op uitkwam.

De manier waarop de lijst beschikbaar werd gesteld is onvergeeflijk (waarom geen API of als je toch de lljst in zijn geheel wenst door te geven waarom dan geen secured ftp?) maar ook de reactie van de directie alsook de overheid was niet goed.

B-europe is in de fout gegaan en we kunnen alleen maar hopen dat de NMBS in het algemeen alsook andere bedrijven hier een les uit leren.
Mathieu_Hinder @Blokker_199929 april 2013 19:21
Daarnaast is het ook helemaal niet toegelaten om dergelijke databases op te stellen met persoonsgegevens (voor zover ik weet tenminste).
DutchReaper @SmokingCrop29 april 2013 10:06
Vaak wordt alleen de wachtwoorden encrypt, als je ook de gegevens gaat encrypten is het moeilijker voor de marketing afdeling om inzicht te krijgen op hun klanten. Het grote probleem zit erin dat er geen waarde wordt gehouden aan hun klantengegevens en dat deze slecht beveiligd zijn. Zo heb je ook dat jaren lang anonieme gebruikersgegevens werden verzameld, die niet anoniem waren. Ze bevatte namelijk de postcode van de persoon en de geboortedatum, dat is niet anoniem meer.

Anonieme data helemaal niet zo anoniem als gedacht
biglia @SmokingCrop29 april 2013 10:28
Gaan ze zelf wel kunnen achterhalen wie het gemaakt heeft? Waarschijnlijk gemaakt door jobhobbers van een consultancybedrijfje dat bij de NMBS terplaatse samenwerkten met een mix van jobhobbers van andere consultancybedrijfjes en enkele vastgeroeste werknemers van NMBS.

Het moet snel, goedkoop en vooral nu... Voor de rest maakt het niet uit. Als het maar werkt.

[Reactie gewijzigd door biglia op 23 juli 2024 18:34]

mutmong @biglia29 april 2013 20:56
Volledig mee eens! Lang leve de uitbestedingopdrachten (lees: voor de goedkoopste).
Die uitbestedingsprocedure heeft duidelijk ook een nadelen!
Waarschijnlijk was dit lek al lang gemeld maar is het vermoedelijk genegeerd of blijven hangen in het logge apparaat van dit overheidsbedrijf.
Aardbol_23564 @SmokingCrop29 april 2013 10:00
Tja, je zou eens moeten weten hoeveel amateurisme hier in België is op het vlak van ICT.

Er zijn bijvoorbeeld ook nog de genees"heren" die gewoon standaard mail accounts gebruiken om je privacygevoelige foto's en persoonlijke gegevens en dergelijke op te slaan en door te sturen naar collega's, ook zonder enige vorm van encryptie en zonder besef dat deze op heel gemakkelijke wijze kunnen worden onderschept en eventueel misbruikt. Naar mijn weten is het in de VS veel stricter gereguleerd en zijn encryptie verplicht bij zowel opslag van deze gegevens, als bij het versturen.

Daarnaast zullen er ook wel veel bedrijven en overheidsinstanties zijn die Dropbox en dergelijke toestanden gebruiken om gevoelige informatie op te slaan. Buiten het feit dat dit allesbehalve als veilig kan worden beschouwd, valt het ook nog eens onder Amerikaanse spionage wetgeving. Dit is in Noorwegen beter gereguleerd wat betreft overheidsinstanites, terwijl dat ze er in veel andere landen precies hun voeten aan vegen.
DutchReaper 29 april 2013 09:58
Het is jammer dat er niet bekend is welke gegevens openbaar zijn gemaakt, er zijn veel gegevens die treinmaatschappijen kunnen hebben.

Ze hebben toegang tot best wel veel gegevens:
- naam, geboortedatum, adres,... van mensen met een abo
- naam, rekeningnummer/bankkaart nummer van mensen die online een ticket gekocht hebben
- visakaart nummer van mensen die met visa tickets kopen

Maar als ze ook gegevens hebben van een OV-chipkaart, kan je daarmee zien dat bijvoorbeeld je buurman iedere dag om 8.20 de trein neemt en om 9.23 uitcheckt. Maar niet alleen je buurman maar ook Rutte of Jantje Smit. Vrouwen kunnen hun man opzoeken en misschien zien dat hij juist eerder klaar was op het werk, ipv dat hij moest overwerken.
BastienVH @DutchReaper29 april 2013 10:17
Volgens wat ik lees op deredactie.be zijn het de namen, adressen en e-mailadressen van de reizigers die openbaar zijn gemaakt.
Verwijderd 29 april 2013 11:22
dat is wel bekend hoor. Het ging om namen, adressen, telefoon, gsm, geboortedatum (als ik het me even goed herinner), maar zeker geen ritten, bankgegevens, visa etc. Niet dat dit de nonchalance acceptabeler maakt...
chaola 29 april 2013 11:39
Iemand had een tijdje een website online waarop je kon controleren of je bij de "slachtoffers" was. Bij mij was dat het geval, maar ik heb er mijn slaap niet voor gelaten. ;)
(EDIT: de bewuste website moest echter ook offline worden gehaald omdat dit-uiteraard-evenzeer een schending van de privacy was...)

[Reactie gewijzigd door chaola op 23 juli 2024 18:34]

Plopeye 29 april 2013 09:32
zouden ze hier in NL ook eens moeten doen. Te beginnen bij overheids websites...
biglia @Plopeye29 april 2013 09:39
Als er geen lek is geweest, wordt er niets onderzocht. Preventief onderzoeken op veiligheidslekken, is natuurlijk de beste oplossing. Dat heeft wel een kostenplaatje wat de meesten niet willen of kunnen betalen.
MAX3400 @biglia29 april 2013 11:40
Rare gedachtenvorming; preventief iets doen kan (zeker in het begin) kostbaarder zijn dan achteraf duidelijke lekken dichten. Neemt niet weg dat de waarde van de privacy zo langzamerhand niets waard begint te worden.

Vraag een willekeurig voorbijganger of het eenmalig 5 euro mag kosten om zijn/haar bankrekeningnummer of paspoortnummer 100% veilig op te slaan of dat het 2.5 Euro mag kosten om zijn/haar gelekte gegevens weer achter een firewall/encryptie te zetten; ik denk dat hier wel een duidelijk antwoord op komt.

Daarnaast is het ook zo dat bij veel lekker de verantwoordelijke(n) niet eens meer gestraft kunnen worden. In een willekeurig CMS of website vinden over een bepaalde periode dusdanig veel wijzigingen/updates/patches plaats, dat uiteindelijk een lek niet meer naar een bepaald persoon of bepaalde opdracht kan worden herleid. Oh, een lek; snel dichten en de rest onder het tapijt vegen.
fraggie 30 april 2013 08:37
naar een gerecht :Y)
Verwijderd 30 april 2013 09:11
Waarom wordt amerika hier weer speciaal genoemd? Journalisten moeten eens ophouden als geile honden aan te rijden tegen het been van amerika. Er is blijkbaar de wereld...en amerika. Die obsessieve amerika-geilheid begint me de keel uit te hangen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:34]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq