Gegevens van duizenden burgers in Oost-Brabant lekken uit

Dinsdagavond is bij Omroep Brabant anoniem een usb-stick afgeleverd met daarop privacygevoelige informatie van minstens vijfduizend burgers. Op de stick staan onder meer rekeningnummers, adressen en handtekeningen.

De stick is afkomstig van BSOB, een samenwerkingsverband van het waterschap Aa en Maas, en verschillende gemeenten in de regio, dat de waterschapsbelasting invordert. De informatie bestaat uit vorderingen en aanslagen voor waterschapsbelastingen over het jaar 2012. Het betreft inwoners van de plaatsen Heusden, Rosmalen en Helmond, zo meldt Omroep Brabant.

Hoe de stick in verkeerde handen is gevallen, is nog niet bekend. BSOB geeft in een reactie op de website aan dat er inmiddels aangifte is gedaan van ontvreemding en dat de zaak wordt onderzocht. Op de website waarschuwt BSOB ook voor spookfacturen, maar die houden naar eigen zeggen geen verband met de 'verloren' usb-stick.

Door Christophe van Bokhoven

Feedback • 05-06-2013 16:45
42 • submitter: Ossebol

05-06-2013 • 16:45

42 Linkedin

Submitter: Ossebol

Lees meer

Dutch Filmworks waarschuwt voor nepbrief over boete voor illegaal downloaden Nieuws van 23 februari 2017
Overheid houdt meer rekening met privacygevolgen eigen ict Nieuws van 27 mei 2013
Kabinet gaat niets doen aan privacyprobleem anonieme ov-chipkaart Nieuws van 14 mei 2013
CBP: overheid laks bij bescherming burgergegevens Nieuws van 18 april 2013
Hackers ontvreemden wachtwoorden Scribd-gebruikers Nieuws van 5 april 2013
Pobelka-botnet ontvreemdde veel gevoelige gegevens Nieuws van 3 april 2013
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (42)

-Moderatie-faq
42
42
34
4
0
3
Wijzig sortering
Niemand_Anders
5 juni 2013 17:05
De gemeente Uden doet ook mee aan het BSOB programma. Als de informatie op de USB stick is beperkt tot de drie genoemde plaatsen, lijkt mij dat een medewerker van een regio kantoor de gegevens heeft gelekt.

Waarschijnlijk betreft het hier de gegevens van huishoudens welke gekozen hebben om het bedrag middels 10 termijnen (automatische incasso) te voldoen..

Nu zijn de gegevens bij een krant terecht gekomen, maar een crimineel kan met deze gegevens (welke zeer waarschijnlijk ook BSN nummer bevat want belastingen) een eenvoudig fraude plegen. Hij heeft zelfs de handtekening..

Daarnaast mag het CBP ook onderzoek doen naar de beveiliging bij BSOB, want ik heb een vermoedendat iedere medewerker bij deze gegevens kan. Ook is het mogelijk dat de BSOB website zelf lek is.
SomerenV
5 juni 2013 16:53
Heusden en Helmond is akelig dichtbij van waar ik woon. Toch erg slordig dat dit soort informatie uit kan lekken via een USB-stickje. Vooral rekeningnummers en handtekeningen zijn erg handig voor kwaadwillenden. 'Gelukkig' is de stick afgeleverd bij Omroep Brabant en niet om het net geplempt.
marcelvb
@SomerenV5 juni 2013 22:19
Heusden en Helmond is akelig dichtbij van waar ik woon.
Ik woon er en ik betaal waterschapsbelasting via deze jongens...
'Gelukkig' is de stick afgeleverd bij Omroep Brabant en niet om het net geplempt.
De vraag blijft waar de data vandaan komt en waar de data nog meer te vinden is.

Ik ben niet blij en ga mijn rekening goed in de gaten houden.
Patrickkkk
@SomerenV5 juni 2013 16:57
..en niet om het net geplempt.
dat weet je natuurlijk niet zeker.
KoenHalfwerk
@Patrickkkk5 juni 2013 17:00
Zeker niet als het om een gefrustreerde medewerker gaat die graag verandering wil zien (iets met stok achter de deur)
_Chris_
@KoenHalfwerk6 juni 2013 12:56
of in dit geval, stick achter de deur...
rayhvh
@SomerenV5 juni 2013 16:55
Je weet niet hoeveel er gekopieerd of ge upload is.
der_joachim
@SomerenV5 juni 2013 16:55
Dat laatste is te hopen. Een kopie is zo gedeeld.
Anoniem: 80487
5 juni 2013 17:01
Ooit gehoord van VPN binnen de gemeente? USB sticks zijn leuk enzo maar voor grote volume's hoogstpersoonlijke data lijkt me dat alles behalve de bedoeling.
Mag wel eens iemand naar het IT beleid kijken daar.
kritischelezer
@Anoniem: 804875 juni 2013 17:23
Het kan zijn dat iemand de data op een USB gezet heeft, er is niet vermeld in het artikel dat de USB stick officieel gebruikt is door waterschap Aa en Maas.
Anoniem: 80487
@kritischelezer5 juni 2013 17:26
Klopt, maar ik neem aan dat mensen dat zien...
En in grote onbeheersebare omgevingen zijn er ook zat andere oplossingen die je kan implementeren om uberhaupt het gebruik van USB sticks te voorkomen.
Je kan Windows inrichten alleen input-devices te accepteren op USB en front-usb kan je bijvoorbeeld afkoppelen als je al niet gewoon met rechten het gebruik van externe storage kan voorkomen.
Blokker_1999
@Anoniem: 804875 juni 2013 18:02
Alleen is het de dag van vandaag bijna ondenkbaar om zonder USB mass storage devices te werken. Verbind je je fototoestel met je PC, kan je de fotos niet overzetten ...
Elmo_nl
@kritischelezer5 juni 2013 22:31
Jawel, uit de link naar omroep Brabant van het artikel staat:
"Het valt koud op ons dak", zegt een woordvoerder van BSOB. "Wij betreuren het verlies van de USB-stick en we beginnen een intern onderzoek naar hoe de gegevens op straat konden belanden.
BlacKstaR-
5 juni 2013 17:03
Denk dat erbij de volgende verkiezingen een Departement ICT moet komen. Die met richtlijnen moet komen die bedrijven en overheidsinstanties moeten volgen als het gaat om privacy gevoelige informatie. De wereld is zo aan het digitaliseren het verbaasd nog steeds dat er geen richtlijnen vanuit de overheid zijn opgesteld. Nu zijn de mensen die het overkomen steeds de dupe terwijl de organisaties er mee wegkomen met een simpele excuses. Denk dat het voor hackers en criminale organisaties nu een walhalla is want sommige websites met gevoelige informatie zijn voor hun een peace of cake. Met strakke richtlijnen kun je denk 90% van dit soort knullige "ongelukken" voorkomen.
Anoniem: 80487
@BlacKstaR-5 juni 2013 17:13
Probleem met wetterlijke eisen is dat een beveiligingsinrichting voor situatie A niet per definitie werkt in situatie B. Je wil dan dus wettelijke richtlijnen gaan opstellen maar je weet van te voren niet of ze toepasbaar zijn en tot welke hoogte.
Je kan bijvoorbeeld wel een firewall eisen maar als ze uberhaupt niet aan het internet zitten is dat niet nodig en zelfs zonde geld, en zo wel dan welke firewall, hoe moet die ingesteld staan, hoe ga je om met fouten (welke natuurlijk altijd gemaakt kunnen worden), welke software mag er achter hangen of zelfs wanneer is iets veilig te noem. De een vind op een FTP een username en password voldoende, de andere wil FTP met SSL en nog weer een ander wil SSH over een VPN tunnel.

Ik denk dat het heel moeilijk is om dat wetterlijk af te dichten. Helemaal als je je als overheid weer niet te veel wil bezighouden met de IT van bedrijven want laten we wel wezen, bij overheden is het ook allemaal lang niet zo recht als het zou moeten zijn.

Men moet gewoon een situatie neerzetten en persooneel scholen of, als ze dat niet willen, personeel neerzetten die weet hoe het werkt. Dat is gewoon het euvel.
Geen enkele sysadmin die zich ook maar een beetje verantwoordelijk of begaan voelt zit te wachten op lekken in het systeem maar heeft wel de maken met vrachtwagen ladingen bureaucratie en mitsen en maren. Vooral in de overheid, maar in het bedrijfsleven net zo goed.

[Reactie gewijzigd door Anoniem: 80487 op 5 juni 2013 17:20]

laptopleon
@BlacKstaR-5 juni 2013 23:12
Vaak ZIJN er wel allerlei regels en afspraken maar ligt het probleem bij de naleving, controle, handhaving en het gebrek aan sancties. Zoals bij zo'n beetje alle problemen, van foute banken tot foutparkeren.
darkdesign
5 juni 2013 17:30
Echt slecht hoe de overheid met dit soort informatie omgaat.
Blokker_1999
@darkdesign5 juni 2013 18:04
Waarom ga je er directr van uit dat het probleem bij de overheid zit? En waarom ga jij er van uit dat dit bij bedrijven niet gebeurd?

In dit geval werd het gerapporteerd door iemand die de informatie naar de media heeft verstuurd. Indien de overheid het zelf vaststeld zijn ze ook verplicht van het bekend te maken, maar op bedrijven is helemaal geen controle.
SuperDre
@darkdesign5 juni 2013 19:38
overheid? je bedoelt mensen..... want het zijn ook gewoon mensen zoals jij en ik..
ralph075
5 juni 2013 17:50
Wat ik vreemd vind is dat men (na het nieuws) aangifte heeft gedaan van ontvreemding. Ik snap wel dat ze hun hachje willen redden, maar lijkt me sterk dat ze zeker kunnen zijn van ontvreemding. De usb-stick kan ook verloren zijn.
Aangifte van verlies zou dus redelijker zijn, maar daarmee is natuurlijk geen PR winst te behalen.
Blokker_1999
@ralph0755 juni 2013 18:05
Niets bewijsd dat de USB stick van de organisatie is. Het is als datadrager gebruikt. Voor hetzelfde geld zijn ze "gewoon" gehacked geweest en heeft iemand een usb drive gebruikt (dat kost toch geen geld meer) om de data naar de media te versturen.
ythehunter
@ralph0756 juni 2013 11:47
Ik neem aan dat ze nog net niet zo dom zijn om deze informatie op een USB-stick te zetten, maar dat hun database gehackt is en die informatie daarna overgezet op een USB- stick
PerfectionVR
6 juni 2013 09:20
Als inwoner van Helmond raak ik nu maar een beetje bezorgt dat ik NOG meer spam in mijn mail krijg...
rduinmayer
@PerfectionVR6 juni 2013 10:16
Ik zou meer bezorgt zijn dat er allemaal dingen op jouw naam worden aangevraagd bij diverse instanties...
Anoniem: 428562
5 juni 2013 16:52
Directie hoofdelijk aansprakelijk stellen voor de schade, dat is de enige manier om organisaties en bedrijven te laten voelen dat ze gegevens beter moeten beveiligen.
Blokker_1999
@Anoniem: 4285625 juni 2013 18:00
Zou je niet eerst uitzoeken hoe de informatie is kunnen lekken? Voor hetzelfde geld zit het lek extern ...
bwerg
@Blokker_19995 juni 2013 20:10
En hoe komt een USB-stick met gevoelige informatie "extern" terecht?

Als er nou een ontevreden psychopatische medewerker informatie steelt, of als een lek in third-party software misbruikt terwijl die software veilig geacht mag worden, dan kun je dat nog als excuus opvoeren. Een USB-stick kwijtraken lijkt me daar toch nooit onder vallen.

Schade claimen, klinkt wel mooi. Probleem is dat je zelden concrete schade kunt aanwijzen. Als je nu spam krijgt, of er wordt ineens gefraudeerd, hoe bewijs je ooit dat dat hierdoor kwam? Richtlijnen hiervoor zouden mooi zijn, zodat het lekken van gegevens op zich al wat waard is. Want als het op internet terecht komt komt het er nooit meer af, bij wijze van spreken.

[Reactie gewijzigd door bwerg op 5 juni 2013 20:12]

dycell
@bwerg5 juni 2013 22:01
Als je een extern bedrijf hebt dat bijvoorbeeld de boekhouding doet? En dit is misschien de standaard procedure om gegevens uit te wisselen?

BSOB geeft in een reactie op de website aan dat er inmiddels aangifte is gedaan van ontvreemding

Waarom merkt men dit niet eerder op? Echt een super slechte zaak en ik hoop dat de verantwoordelijke passend gestraft wordt. Bij ambtenaren zal dat dus gebak of een saussijzenbroodje voor de afdeling worden....
christopher72
@dycell5 juni 2013 23:34
Eerlijk gezegd zou ik NOOIT, noch privé noch in werk-gerelateerde situaties, met een USB-stick over straat gaan waarop privé-gegevens van zoveel burgers te vinden zijn. Zelfs als het encrypted is zou ik me hopeloos verantwoordelijk voelen als ik het kleinood verlies of wanneer het ontvreemd wordt.

Als het bedrijf waarvoor ik werk dat van me vraagt, dan weiger ik en haast me om een andere werkgever te zoeken. Uiteindelijk kun je maar voor 1 persoon (moreel) verantwoordelijk zijn, en dat is voor jezelf.
freaq
@Blokker_19995 juni 2013 18:14
extern of niet, de beveiliging daar schort het aan.
erg triest dit, hopelijk is het gewoon een gevalletje usb stick laten vallen in de trein, maar dan nog zou ik dat liever ge-encrypt zien...

dan is nog de vraag is dit alle info of alleen een deel,
is die info gekopieerd,
en zit er geen malware op die USB stick die zoekt naar meer van dit soort dingen....

enge situatie dit.
Cerberus_tm
@Anoniem: 4285625 juni 2013 19:19
Daar zit wel wat in. In elk geval moeten er serieuze consequenties zijn voor een organisatie als er zoiets lekt. Het enige is dit: als een directeur hoofdelijk aansprakelijk is, heeft hij een extreem sterke motivatie om het lek stil te houden en te verbergen. Dat lijkt me ook niet goed. Aan de andere kant heeft hij nu ook al redenen genoeg om het stil te willen houden. Misschien een straf op stilhouden? Ik vind dit echt een erg lastig probleem, en ik kan geen oplossing bedenken die organisaties op de juiste wijze stimuleert om lekken zowel te voorkomen als te openbaren.
TheGhostInc
@Anoniem: 4285625 juni 2013 20:31
Directie hoofdelijk aansprakelijk stellen voor de schade
De schade is ongeveer.... 1 usb stick? Alle andere schade is amper aan te tonen als er al sprake is van schade.
Daarnaast zijn het gewoon IT-ers die hier volle bak aan het prutsen zijn, de directie is hier amper bij betrokken. Overigens kan de overheid ook een keer fatsoenlijke regels invoeren om te voorkomen dat dit soort gegevens zo makkelijk lekken. (Bankrekeningnr's nooit meer plain-tekst opslaan, etc.)

Zullen we dan trouwens ook meteen artsen die fouten maken 'op dezelfde manier'-benadelen? Lekker terug naar de middeleeuwen... "Hoofd eraf" :+
indigo79
@TheGhostInc6 juni 2013 10:10
Daarnaast zijn het gewoon IT-ers die hier volle bak aan het prutsen zijn, de directie is hier amper bij betrokken.
De gemiddelde directie wordt goed betaald "omwille van de verantwoordelijkheid die ze hebben". Ik wil niet de rode rakker uithangen en zeggen dat dat onterecht is, maar een directie heeft inderdaad een verantwoordelijkheid om te weten wat er gebeurt, eventueel door de juiste tussenpersonen aan te stellen tussen het directieniveau en het uitvoerend niveau.

Het feit dat er op veel plaatsen IT-ers volle bak aan het prutsen zijn, heeft te maken met het feit dat IT door directie en aandeelhouders vooral gezien wordt als een te drukken kostenpost.

En je kan hier wel wetten voor maken, maar hoe ga je die ooit controleren...
KoenHalfwerk
5 juni 2013 16:58
Dus in plaats van op het schavot gaan staan gaan ze met de vinger wijzen?
vrij sneu dat dit nog kan gebeuren...
robvandenhoogen
5 juni 2013 17:00
nou hopen we maar allemaal dat de gegevens niet zijn uitgelekt. anders hoop ik wel dat eventuele schade gecompenseert word.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee