Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 186 reacties

Een Ziggo-medewerker is door diefstal een onversleutelde laptop met gegevens van 40.000 klanten verloren, zoals de naam, het e-mailadres en het onderwerp waarover de klanten contact hadden met de klantenservice.

ZiggoDoor de diefstal van de laptop liggen nu de gegevens van 40.000 klanten op straat, schrijft NU.nl. Het gaat om klanten die onlangs contact hebben gehad met de klantenservice. Een bestand op de laptop bevatte van de getroffen klanten het klantnummer, de voorletters, achternaam, geslacht, e-mailadressen, postcode en het onderwerp van het gesprek.

Volgens Ziggo is er geen groot risico op misbruik, omdat er geen wachtwoorden in het bestand stonden. Wel zou Ziggo medewerkers intern waarschuwen over mensen die zichzelf voordoen als getroffen Ziggo-klanten. Daarnaast heeft Ziggo de klanten wier gegevens op de laptop stonden per brief geïnformeerd.

De laptop was van een medewerker van de afdeling onderzoek van Ziggo. De medewerker, die in strijd met Ziggo's interne regels handelde door de gegevens onversleuteld mee te nemen op zijn laptop, wilde op het bestand een statistische analyse loslaten. Het ging om een verouderde laptop, waardoor de gegevens op de laptop niet waren versleuteld. Nieuwere laptops zijn volgens Ziggo wel van encryptie voorzien.

Update, 22:12 - In een aanvullende reactie laat Ziggo aan Tweakers weten dat de laptop is gestolen. Ook bevatte het bestand, in tegenstelling tot wat NU.nl meldt, niet de laatste vier cijfers van het nummer van de bankrekening, benadrukt Ziggo.
Moderatie-faq Wijzig weergave

Reacties (186)

Ik kreeg inderdaad net een brief van ziggo waarin dit werd verteld. De kans op misbruik wordt als zeer klein ingeschat. Er zouden geen wachtwoorden e.d. van klanten op hebben gestaan (dat zou ook wel de bloody limit zijn...). Excuses van ziggo en de procedures zijn aangescherpt.
Ik vraag me af welke wachtwoorden er uberhaupt op zouden kunnen staan. Bij Ziggo vindt de verbinding toch plaats op basis van MAC adres en niet VPI/VCI/username/password?

Er zijn zelfs xDSL providers waar de verbinding gewoon met een standaard gebruikersnaam en wachtwoordcombinatie wordt gemaakt.
Van mailboxen bijvoorbeeld, maar ik neem aan/verwacht/hoop dat die alleen gehashed op een goed beveiligde server staan.
Maar je moet ook nooit hetzelfde wachtwoord voor je internetconnectie gebruiken als je hotmail, gmail of Office 365 mail. Mijn ziggo vereist overigens geen gebruikersnaam/wachtwoord. Gewoon een IP adres invullen van het IP blok en er is verbinding.
Hotspots maakt gewoon gebruik van username en password :)
Maar dat zijn geen persoonlijke wachtwoorden als in op MIJN netwerk kunnen.
Ik denk niet dat het probleem je Ziggo account is. Ik zou me veel drukker maken over de mogelijke gevolgen van identiteitsfraude. Het lijkt erop dat de gegevens die Ziggo voor jou in het mogelijke criminele domein heeft gegooit het voor ze een stuk makkelijker maakt jouw identiteit over te nemen.
Het lijkt erop dat de gegevens die Ziggo voor jou in het mogelijke criminele domein heeft gegooit het voor ze een stuk makkelijker maakt jouw identiteit over te nemen.
Welke aanwijzing (je praat over 'het lijkt erop') heb je dat Ziggo de gegevens in het criminele circuit heeft gegooit? Heb je daar enig bewijs voor of blaas je maar wat voor de buhne?
Aangezien ik geen connecties in de onderwereld heb kan ik dit natuurlijk nooit onderbouwen. Ik geef alleen aan dat dit het echt grote gevaar is van het lekken van dit soort datasets door bedrijven. Je wachtwoord kan je aanpassen maar identiteitsfraude gaat ver, heel ver en je kan jaren bezig zijn om van die gevolgen af te komen.
Staat er ook op basis waarvan ze menen dat de kans op misbruik klein wordt ingeschat? En doet Ziggo dat zelf, dat kennelijk heel veel verstand heeft van risico-inschatten van fout omgaan met andermans gegevens? Of heeft Ziggo dat door iemand anders laten bepalen?

Dat er geen wachtwoorden tussen zitten, of dat 'slechts' de laatste cijfertjes van je bankrekening op straat liggen, of slechts je complete naam en mogelijk geheim adres, of het feit dat de buitenwereld nu weet dat je klant bij Ziggo bent/was of wat je klantnummer is. Het zijn voldoende punten om niet zo'n bagatelliserende zin in een brief naar je klanten te sturen. Het toont geen enkel respect naar klanten om zo'n inschatting te doen zonder enige goede onderbouwing.

Overigens heb je compleet niets aan een dergelijke inschatting, het gaat er om dat jij en Ziggo geen enkele controle meer heeft over wat er met je gegevens gebeurt, als fout door Ziggo. Het punt is dat dat is gebeurt en dat het verdere risico weinig uit maakt.
Geen sprake van eventuele schadevergoeding of compensatie?
Ja, laten we ze aanklagen... 8)7

Enig begrip voor het feit dat mensen ook maar imperfect zijn zou toch wel prettig zijn tegenwoordig.
Het zijn geen mensen, het is een bedrijf. Die mag je gerust aanklagen.
Bedrijven zie met (zoveel) klantgegevens omgaan hebben een verantwoordelijkheid.
Tsja dan nog, bedrijven moeten ook fouten kunnen maken toch? Zolang t niet heel ernstig is, lijkt me dat daar ook enige coulance moet zijn. Maar goed, t gaat me er meer om dat ik geen behoefte heb om in een claim samenleving te leven zoals de US. Perfectie eisen van mens of bedrijf en anders aanklagen is wat mij betreft een ongewenste ontwikkeling.
Fouten maken ja, maar daarbij hoort niet het werken met onversleutelde laptops. Kom op zeg, hoe vaak zijn er nu al niet van dit soort gevallen in het nieuws geweest?

Als een bedrijf geen maatregelen neemt tegen brandveiligheid en er komen dan mensen om het leven, dan ga je toch ook niet zeggen tjah bedrijven moeten fouten kunnen maken. Bepaalde omstandigheden daar kun je je op voorbereiden, en gaat het dan nog mis, tjah dan is dat een andere zaak.

Dit is gewoon laksheid van Ziggo
Als ik alles perfect geregeld heb kan er nog steeds een persoon met een aanstelker de gordijnen in de fik steken. Daar doe je niks tegen. Dit is zo'n zelfde geval. De gebruiker had niet het recht de data op zijn laptop te hebben.

Petje af voor Ziggo door zo direct te handelen en communiceren.
Dat zeg ik, als er dan nog steeds iets mis gaat, is dat een ander verhaal. Uitsluiten kun je zoiets nooit, maar je kunt wel je best doen om de schade / gevolgen zoveel mogelijk te beperken of om de situatie zoveel mogelijk te voorkomen. (brandwerende gordijnen bijvoorbeeld)

Maar als die persoon de gordijnen in de fik steekt terwijl er geen brandblussers of brandalarm geinstalleerd is, en er dus personen niet tijdig gewaarschuwd worden omdat er geen alarm is, dan vind ik dat wel degelijk laksheid van het bedrijf.
Waren de brandmelders wel geplaatst, dan hadden de slachtoffers mogelijk nog kunnen ontsnappen, of had iemand de beginnende brand nog kunnen blussen.

Als Ziggo ervoor had gezorgd dat alle laptops versleutelde harddrives hadden, dan was de laptop nu ook gestolen, maar was het een stuk minder waarschijnlijk dat de gegevens door derden benaderd kunnen worden.

Als dan een persoon dit op een onversleutelde USB stick kopieert en deze verliest, is het nog steeds vervelend, maar dan heeft Ziggo in ieder geval alles eraan gedaan om het probleem te voorkomen.
Vervelend voor de klanten, en die gaan nergens anders heen. Ziggo houdt zich de komende maanden gedeist, loopt procedures na, en gaat weer verder.
Medewerker krijgt op zijn donder, en gaat weer verder.

Klant geen recht op financiele compensatie, want kan niet aantonen dat er schade is ontstaan.

Boetes op het verlies van persoonsgegevens bestaan volgens mij nog niet. Misschien dat het College Bescherming Persoonsgegevens hier nog wat van gaat vinden.

Een handhavingsinstantie zal in eerste instantie gaan kijken naar de oorzaak, en de maatregelen die Ziggo neemt om dit voor de toekomst te voorkomen.

Klaar.
Geen sprake van eventuele schadevergoeding of compensatie?
Als jij schade kan aantonen zullen ze daar vast wel over willen praten. Maar als klant heb je in Nederland geen recht om een bedrijf door middel van een boete te bestraffen. In geen enkel land gok ik zo.
Denk ook eens aan indirecte schade.

Bijvoorbeeld de tijd en moeite die een getroffen persoon periodiek kwijt is aan het zelf opvragen van gegevens bij allerlei controlerende instanties, om te verifiëren dat er niemand met zijn/haar identiteit aan de haal gegaan is om leningen of subsidies aan te vragen of contracten voor bepaalde diensten af te sluiten.

Niemand die dat voor je gaat doen, tenzij je een duur bureau er voor in de arm neemt en op die manier kosten maakt.

Of je laat het natuurlijk gewoon op z'n beloop gaan ... en dan staat op een goede ochtend oom agent bij jouw op de beur te bonzen; of je eventjes mee wilt werken aan een onderzoek betr. een louche drugs deal die scheef is gelopen...

[Reactie gewijzigd door R4gnax op 14 oktober 2013 20:07]

Druk jij even je schade uit in euro's?

We wonen niet in de VS waar je voor elk wissewasje emotionele schade kan claimen.
Ja, 40.000x +-70 Euro. Leuke schadepost voor Ziggo (en indirect haar klanten). Slecht plan dus. Feitelijk is er weinig aan de hand, excuses zijn gemaakt en netjes per brief geďnformeerd. Genoeg gedaan dunkt me.
Dit soort cases gebeurt keer op keer.
Is het niet Ziggo dan is het wel weer een ander bedrijf.
Ik heb graag dat een bedrijf waar ik klant heb nauwkeurig om gaat met mijn gegevens.
Als Ziggo op voorhand meer geld geďnvesteerd had in middelen om dit te voorkomen, dan was dit niet gebeurd. Het gaat erom dat een bedrijf lering trekt uit dit soort voorvallen.
Denk sowieso dat Ziggo nog wel wat uit te leggen heeft aan de ACM, en wellicht ook vanuit daar een fikse boete opgelegd krijgt. Dan heb ik toch liever dat dat geld naar de gedupeerden gaat.

En 70 euro gemiddeld is natuurlijk een belachelijk voorbeeld, dan praat je meteen over het duurste pakket...
Ik heb het ook niet over een rechtzaak of miljoenenclaim.

Het ging over schade of compensatie. Nou, dan wil ik wel weten wat voor schade er daadwerkelijk geleden is. Schadevergoeding voor eventuele toekomstige schade slaat natuurlijk nergens op, dat kan je tzt gaan regelen.

De reden dat ik de VS aanhaal is omdat ik meteen zo'n gevoel krijg dat iemand er een slaatje uit wil slaan. Ik vind het logisch dat je iets verwacht als je dienst onderbroken is, maar voor het lekken van persoonsgegevens... dat vind ik heel raar. Dat doet in principe geen kwaad voor de klant, tenzij de gegevens misbruikt worden (en dat zien we dan wel weer).
Erg slordig van die medewerker. Zelfs ik verlies m'n laptop nooit en ik neem het elke schooldag mee naar school.
Het probleem zit hem niet in het verliezen van de laptop maar in het feit dat hij die gegevens (onversleuteld) op zijn laptop had staan. Zulke dingen hoor je eigenlijk niet bij je te hebben, dan wel goed beveiligd.

Niet dat ik heilig ben, hoor! Ik moet ook nog steeds mijn tempdirectory weer eens goed nalopen. Staat vrees ik ook nog wel wat meuk in dat daar eigenlijk niet hoort.
Het hele verhaal over een oude onbeveiligde laptop vind ik onzin. Bij ons bedrijf zijn alle laptops vervangen door laptops waarvan de harde schijf versleuteld is met Wave.

De medewerker heeft fout gehandeld, maar het is ook zeker de IT afdeling die ervoor zorg had moeten dragen dat er geen oud materieel meer gebruikt wordt, danwel dat deze alsnog versleuteld zou worden.

Maar goed, het bedrijf waar ik voor werk is bang om belangrijke info te verliezen over patenten en dergelijken dus dan is de motivatie al heel anders. Dit zijn "maar" klantgegevens dus who cares?
De medewerker heeft fout gehandeld, maar het is ook zeker de IT afdeling die ervoor zorg had moeten dragen dat er geen oud materieel meer gebruikt wordt, danwel dat deze alsnog versleuteld zou worden.
Ik ken de situatie niet, maar ik draai lang genoeg mee in de IT wereld om dit als onzin af te doen. In vrijwel elk bedrijf is IT eerder een kostenpost en budgetten worden geknepen ... zeker in deze tijd. Nieuwe laptops zijn duur, een versleutelingsmethode die centraal beheerd kan worden (niet elke medewerker snap iets van windows) inclusief uitrol kan ook flink oplopen (niet alleen licentie, maar ook arbeidsuren). Het is vaak juist niet IT die de schuldige is, maar degene zonder technische kennis die de geldkraan naar IT dichtdraait omdat het belang niet ingezien wordt van een dergelijke investering.
Ik ben het er mee eens dat vaak de mensen die het minst verstand hebben van IT, de grote besluiten nemen en dat is funest. Maar dan nog blijf ik erbij dat als een bedrijf veel geld kan verliezen doordat patent gevoelig materiaal in het openbaar kan komen (en dus concurrenten met die informatie enorme winsten kunnen halen uit jouw onderzoek, helemaal voor niets) dat bedrijven dan ineens wel bereid zijn om geld te investeren in de IT afdeling.

Laptops zijn niet goedkoop, zeker niet de laptops die in bedrijven gebruikt worden. Maar de kosten zijn een schijntje vergeleken met de personeelskosten. En zeker een schijntje vergeleken met de verliezen die gedraait worden als de concurrentie er met jouw producten van door gaat.

Het verliezen van klantgegevens is vervelend, met name voor de klanten die gedupeerd zijn hierdoor, maar het is geen groot financieel risico. Mensen stappen niet massaal over op UPC bijvoorbeeld, om de simpele reden dat er geen UPC diensten geleverd worden in het ziggo gebied.

Als ik zeg dat de IT afdeling gefaald heeft hier, dan bedoel ik hiermee dus de hoge bonzen die besloten hebben om te bezuinigen op de laptops.

Of mogelijk is het nog veel simpeler, de afdelingschef had geen zin om budget vrij te maken voor de betere laptops (vaak moeten verschillende afdelingen betalen aan de IT afdeling voor hun computers) en daardoor zijn nu deze gegevens mogelijk openbaar. Uiteindelijk gaat het natuurlijk om geld, geld en nog eens geld.
Dit zijn "maar" klantgegevens dus who cares?
Het is duidelijk dat er iets is fout gegaan maar het zijn zeker niet "maar' klantgegevens. Ziggo weet best dat dat hun grootste kapitaal is, het zijn hun 'patenten' zo gezegd.

Te zeggen dat Ziggo daar niet om geeft is veel te kort door de bocht. Als ze nu een lange geschiedenis van verloren data, hacks etc hadden zou he een punt hebben. Maar het gaat hier over een werknemer die de regels niet heeft nageleefd. Dat kan werkelijk elk bedrijf overkomen. Ook het bedrijf waar zij werkt.
Het maar staat tussen aanhalingstekens en daarmee geef ik dus aan dat het ironisch bedoeld is.

Natuurlijk kan een werkgever er weinig aan doen als de werknemer niet de regels opvolgt. Maar de werkgever had in deze ervoor kunnen zorgen dat er geen enkele laptop meer gebruikt wordt binnen het bedrijf, waarvan de harddisk niet is versleuteld. En daar is Ziggo wel degelijk nalatig geweest.

Ik weet hoe het in de praktijk werkt met dit soort dingen, ik lever al jaren support aan medewerkers van grote bedrijven. Maar het feit dat er nog laptops in gebruik zijn zonder versleutelde harddrive, noem ik gewoon laks...
Wordt de apparatuur niet iedere 3 jaar afgeschreven en vervangen?
Ik heb erg veel moeite te begrijpen waarom Ziggo toestond dat een 'verouderde' laptop gebruikt werd, dat blijkbaar een medewerker binnen kan wandelen en 40.000 records kan downloaden en mee kan nemen zonder dat iemand het controleert.
Wel ironisch, de klantenservice van Ziggo wordt nou niet echt vaak geroemd, dan dit erboven op :P
Wordt de apparatuur niet iedere 3 jaar afgeschreven en vervangen?
Bij sommige bedrijven wel ja. Mijn werkgever heeft er ook nooit zo'n haast mee, zolang de boel het nog doet, werkt het. Op die manier haal je vaak gewoon 6-7 jaar met een laptop, scheelt toch weer een investeringsronde... ;)

En verder - tsja, waarschijnlijk kon hij vanwege z'n functie bij de betreffende gegevens, en zit er bij de downloadfunctie geen check ingebouwd of de doelcomputer versleuteld is.

Waar ik meer mee zit is de vraag waarom deze persoon een laptop had zonder versleuteling, terwijl hij dat (blijkbaar) wel nodig heeft om z'n werk te doen.
Zal waarschijnlijk afhangen van de nood van de laptop voor de medewerker maar uit artikel kan ik niet opmaken dat die minder nodig heeft sterker nog je zou suggereren meer.
Ondanks dit alle hoefde ze niet eens de hele C-schijf te versleuten echter het versleuten van het bestand met alle data erin volstond ook. Het is echt onbegrijpelijk hoe laks ze geweest zijn. Er is niet een protocol over trede maar gewoon meerdere, met fout op fout.
Ik verbaas mij erg vaak over het feit dat ik mijn hele hebben en houden moet invullen voor een simpele vraag als 'wat is jullie nieuwe telefoonnummer?' (ING.nl nav informatie op hun klantenservicepagina dat 0900-nummers omgezet zouden worden naar standaardnummers 4e kwartaal 2013: Naam, voorletters, leeftijd (..) volledig adres, telefoonnummer, email, rekeningnummer).

Ik ben veel vaker tegen dat soort (voor de vraag) niet-relevante verplichtingen aangelopen...
De reden daarvoor is simpel: een stukje extra beveiliging. Het wijzigen van het telefoonnummer staat bij ING gelijk aan het wijzigen van je login credentials ongeveer, waarschijnlijk zelfs nog belangrijker, omdat je bij het wijzigen van je telefoonnummer ook je wachtwoord kan wijzigen mét het nieuwe telefoonnummer.

Stop er wat meer data in en de computer kan checken of die data klopt met wat zij hebben staan.

Dit is hetzelfde als dat ik in SQL als ik een delete query doe altijd
DELETE FROM klanten WHERE id = 1 AND name = 'Henk'
doe. De "name='henk'" is totaal nutteloos qua werking, maar blokkeert een groot deel van de per ongeluk verkeerde aanroepen.
Mijn vraag aan ING was: Wat is het nieuwe nummer van ING?

Als ik cruciale gegevens moet invullen voor het wijzigen van mijn eigen gegevens kan ik mij dat voorstellen, voor het opvragen van een telefoonnummer van hun klantenservice lijkt mij dat totaal overbodig... Zo moest ik eens voor het doorgeven van een fout op een website óók al dat soort gegevens invullen, dan wordt de grens wel erg hoog...

Ik begrijp dan ook niet waarom ik daar een 'irrelevant' score voor krijg...
hear hear. Ik heb mijn medische onderzoeksgegevens (SPSS files) ook in een container zitten 256bit.

"Sukkeltje sukkeltje" en functie terugzetten is op zn plaats.
Ik weet niet wat voor medische data jij hebt maar de data die ik voor mijn onderzoek heb mag helemaal niet op mijn laptop komen. Die moet op bepaalde manier opgeslagen worden volgens eisen van de NHS. Idem gaat op voor medische genome data die wij hebben. Het opslaan op een laptop encrypted of niet voldoet niet aan de eisen die gesteld zijn aan opslag.
Mijn data is al gedestilleerd en gestript van patient kenmerken. slechts een nummer.

Maar goed bezig dat ze bij jou zo streng zijn.
goed voor u, maar veel ziekenhuizen springen veel minder veilig om met uw gegevens.... Dan mag je zelf nog zo uw best doen...
Er staat verloren, maar waarom zou dit niet gejat kunnen zijn?
Klopt, het kan zijn dat hij het in zijn auto had laten liggen en die auto wordt dan toevallig gestolen, het zal niet de eerste keer zijn.
In een vergelijkbare zaak met een papieren dossier werd de medewerker direct uit zijn functie gezet, niet ontslagen maar wel een lagere functie + paar salarisschalen terug.

[Reactie gewijzigd door Soldaatje op 12 oktober 2013 14:17]

Dan nog je laat geen laptop in de auto liggen, ik ken genoeg organisaties die daar security regels voor hebben en wanneer overtreden vergaande gevolgen kan hebben onder andere per direct ontslag, met daarnaast het vergoede van eventueel geleden schade. Er is gewoon geen excuus om een laptop onbeheerd achter te laten in een auto. :)

@Hieronder lees a.u.b. goed, ik heb het erover dat het vergaande gevolgen KAN hebben. Daarnaast gaat het in mijn reactie ook over het feit dat een laptop in een auto laat liggen, heel simpel dit doe je NIET en al helemaal niet als de laptop op voorzitting of achterbank ligt. Dat is gewoon vragen om moeilijkheden en valt bij veel organisaties onder het kopje zwaar nalatig.

[Reactie gewijzigd door _Dune_ op 12 oktober 2013 16:26]

Security regels hebben en security regels consequent naleven zijn 2 heel verschillende dingen. En er is altijd nog de mogelijkheid voor een "moment van onachtzaamheid" of een ongelukje.
Het blijven immers mensen.
Wat heb je aan 'beleid' als je het vervolgens niet uniform toepast in je organisatie, er geen controle op is, het (technsich) niet afgedwongen wordt, en wellicht ook geen/weinig consequenties voor de betreffende medewerker kan hebben?

Kun je net zo goed geen beleid hebben op dit vlak... Stuk goedkoper.
Dat kan helemaal niet (ontslagen worden omdat je laptop uit de auto gestolen is). 'Onbeheerd' is namelijk nogal een subjectief begrip. Wat ik niet begrijp is dat Ziggo haar policy niet zodanig heeft uitgerold, zodat het helemaal niet mogelijk was om die gegevens op 'deze verouderde laptop' te zetten.
Het artikel op nu.nl heeft het over gestolen :)
Dan nog mogen zo'n gegevens toch niet onbeveiligd meegenomen worden? Het zal een erg oude laptop geweest zijn als iets als truecrypt er nog niet op draait.
Hem ergens achterlaten is zeer snel gebeurd. Ga maar eens kijken bij de dienst verloren voorwerpen van een gemiddeld OV bedrijf wat mensen allemaal niet achterlaten.
Ik herinner me nog een artikel in de Quest hierover. O.a. een houtenkunstbeen en nog meer vreemde voorwerpen!
Jup en het meeste wordt niet eens opgehaald!

Een ongeluk zit trouwens in een klein hoekje. Ik reis dagelijks met de trein maar toch is het mij een keer gebeurd dat ik een rugtas met kleding heb laten liggen. Laptoptas (die ik dagelijks bij me heb) had ik op schoot en rugtas die ik normaal nooit bij me heb had ik in het bagagerek gelegd. Was ook vrij druk en bij uitstappen nooit aan gedacht. Toen ik het mij realiseerde kon ik de trein nog net uitzwaaien.

Toch heb ik direct melding hiervan gemaakt: hoewel niet waardevol wilde ik toch graag mijn spullen terug en de tas werd netjes opgestuurd na een kleine vergoeding. Ik snap dan ook niet dat mensen niet eens de moeite nemen om dure laptops, smartphones en kunstbenen terug te krijgen. Deze mis je toch vrij gauw lijkt me...
Als de laptop van 'de baas' is dan is het ineens niet meer een dure laptop want het zou zomaar kunnen zijn dat je er niet voor hebt betaald. En dus de waarde er niet in ziet.. Just my 2 cents..
Ik denk ook dat verloren/gejat/laten liggen niet het probleem is...kan gebeuren.
Maar dat dit soort bedrijven niet standaard hun laptops versleutelen vind ik ouderwets.
Ik vind het sowieso een raar verhaal dat klantgegevens lokaal op een verouderde laptop staan. Klant gegevens staan nogmaal gesproken in een beveiligde database. |:( Zeer domme zet weer dit.
Hij wilde een statistisch onderzoek ermee doen. Hij zal wel een werkbaar uittrekseltje hebbben genomen eerst, want het duurt veel te lang om meteen alle probeersels op een gigantische database van misschien miljoenen records uit te proberen.
valt wel best mee hoor, een goed geoptimaliseerde databank kan resultaten in een paar seconden/minuten enkele miljoenen records opsnorren...

Vind het vreemd verhaal: lokaal hoort niks te staan van die omvang.
Mijn ervaring met rapportage / analysetools is dat ze toch wel vrij snel een db hinderen. Vooral omdat je bij analyses en dergelijke informatie van heel veel verschillende tabellen koppelt - veel meer dan in de applicatie zelf. En dat zijn dure operaties, als je dat op de gehele dataset wilt doen.

Om die reden hebben diverse tools ook lokale storage nodig of is het op z'n minst handig als je niet bij elke muisklik 5 minuten op de updates wilt wachten. Ook bepaalde operaties (groeperigen, berekeningen die niet in de db thuishoren maar alleen voor analyse dienen) moeten vaak lokaal worden uitgevoerd. Koppeling met GIS en dergelijke: niet automatisch handig in de db.

Dus in dat opzicht is het zeker niet onrealistisch om een dataset te downloaden en ermee te werken.
Zoals aangegeven heeft een werknemer, tegen de regels in, een dump gemaakt van die data om er een analyse op uit te kunnen voeren. En je kan dat ongehoord vinden, maar soms moet je spijtig genoeg de regels breken net omdat hogerhand niet wenst mee te werken.

Ook ik heb ondertussen read-only toegang weten te bekomen tot databases en dumps waar ik in principe niet aan mag zitten, net om statistische analyses uit te voeren. Met goedkeuring van mijn onmiddelijke chef maar zonder goedkeuring van de informaticadienst net omdat die dienst dat niet wenst. Dus ja, ik neem dagelijks, geautomatiseerd een dump van bepaalde databases om die op mijn eigen workstation verder te bewerken. Shame on me ... for doing my job.
En je kan dat ongehoord vinden, maar soms moet je spijtig genoeg de regels breken net omdat hogerhand niet wenst mee te werken.
Ja man. Goed verhaal als je bij een rechter zit..
Zoals aangegeven heeft een werknemer, tegen de regels in, een dump gemaakt van die data om er een analyse op uit te kunnen voeren. En je kan dat ongehoord vinden, maar soms moet je spijtig genoeg de regels breken net omdat hogerhand niet wenst mee te werken.

Ook ik heb ondertussen read-only toegang weten te bekomen tot databases en dumps waar ik in principe niet aan mag zitten, net om statistische analyses uit te voeren. Met goedkeuring van mijn onmiddelijke chef maar zonder goedkeuring van de informaticadienst net omdat die dienst dat niet wenst. Dus ja, ik neem dagelijks, geautomatiseerd een dump van bepaalde databases om die op mijn eigen workstation verder te bewerken. Shame on me ... for doing my job.
als je de gegevens maar iedere keer goed versleuteld en zuinig bent op je laptop is er weinig aan de hand. maar als je onversleuteld gegevens meeneemt waar je ook nog een laks mee omgaat, snap je niet helemaal waar je mee bezig bent.
Er zit ook wel een verschil tussen een desktop en een laptop, zeker als je de laatste mee naar huis neemt!
Of is de laptop ergens in het kantoor van Ziggo kwijtgeraakt?
Wat deed die laptop, onversleuteld, buiten de deuren van Ziggo?
Ging die werknemer s'avonds eraan werken? Betaalt Ziggo dat? Was dat het idee van Ziggo?
Klinkt hier toch als een medewerker die de regels en procedures aan zijn laars lapt omdat ie denkt dat het zo makkelijker werkt.

Er is een reden dat databases niet zomaar door alles en iedereen bekeken mogen worden, heb je er ooit aan gedacht wat er gebeurt als door jouw fout er duizenden klantrecords op straat liggen (nogmaals, een desktop is wat minder link dan een laptop, maar toch blijft het een behoorlijk 'onhandige' actie).
Ik begrijp het ook niet.. waarom zou iemand 40K klantgegevens lokaal willen opslaan?
Waarschijnlijk gewoon een export of selectie uit een database.
En voor verdere data analyze kan dit heel goed gedaan worden. bv om excel, access of een andere tools verdere analyze uit te voeren.
Jup zeker in de cloud? ;)
Hier nogmaals het belang van encryptie van gegevens. Maar wat misschien nog belangrijker is: een duidelijk(er) (gebruikers) policy. Medewerkers denken vaak (onterecht) dat ze 'alles' mogen zonder consequenties. Je kunt namelijk nog steeds een laptop voorzien van encryptie, maar als een medewerker vervolgens (klant) gegevens in een Dropbox gooit die vervolgens wordt gehackt, tja.. daar gaat je beveiliging.

Mijn punt is dus: leg dit gebruikers uit! Vertel de gevolgen (voor hun als voor het bedrijf).

Eerlijk is eerlijk: zelf ben ik ook onzorgvuldig geweest en heb ik in het verleden bedrijfsinformatie (programma's/documenten geschreven voor het bedrijf op een Dropbox geplaatst, etc.), maar ik probeer wel steeds zorgvuldiger mee om te gaan.

Je kunt niet iedere medewerker controleren helaas.

Wat wilde deze medewerker eigenlijk doen? Een analyse maken hoeveel bankrekeningen eindigen met een cijfer? :S
Encryptie is leuk, maar je moet toch echt met de plain text aan de slag in je analyse. Ja je kan encryptie lokaal toevoegen, maar als het een XP laptop was dan zit dat niet ingebouwd in het OS en moet men weer aparte software gaan installeren die dan weer buiten de MS beheerstools valt.

En je kan als bedrijf heel veel maatregelen nemen om data af te schermen, maar je mag ook niet overdrijven. Mensen moeten ook nog kunnen werken. Ik zit bijvoorbeeld met het omgekeerde. Ik kan op geen enkele manier online bestanden syncen tussen mijn thuispc en mijn werkpc, heel leuk is dat ...
Sorry maar al is het een XP laptop die geen encryptie ondersteund, dan moet je gewoon wat modernere laptop halen. Dat is natuurlijk geen excuus hiervoor.

Analyse? wat wil men analyseren met rekeningnummers, klant namen?
Doe dat gewoon op je werkplek, in de avond je rust nemen en volgende dag fris op.

Blijkbaar is het noodzakelijk om te overdrijven want het komt nog steeds voor men laptop en usb's met belangrijke gegevens kwijtraken.
De rest bij Ziggo had al een nieuwe laptop, dus dacht meneer misschien dat als hij zijn ouwe bak 'kwijt' zou raken, hij ook een nieuwe zou krijgen. Ik geef diegene geen ongelijk in dat geval :P .

Ontopic: Waarom zou hij in de eerste plaats die 40.000 klantengegevens op zijn pc moeten hebben staan? Als je van tevoren weet dat op die oude pc een echt goede beveiliging te moeilijk is, dan geef je die gegevens toch niet mee. In plaats daarvan zouden ze dan beter alleen de gegevens mee kunnen geven die nodig zijn (dus bijvoorbeeld alleen de klantgegevens van die week die behandeld moeten worden die die persoon oid). Beetje rare zaak, maar alsnog schrik ik er niet echt van tov wat de NSA en de britten allemaal uitspoken.
Misschien analyseert hij de inbound calls op het servicenummer wel: hoeveel mannen/vrouwen uit die en die straat in die en die plaats (bijv na een lokale storing) hebben er deze maand gebeld? Dan heb je al snel dit soort datasets nodig denk ik.
En wat is de waarde van emailadres en (laatste x cijfers van) bankrekeningnummer voor deze statistische analyze?
Geen idee, maar dat men de moeite neemt om überhaupt de rekeningnrs aan te passen geeft wel aan dat ze er *iets* mee wilden/konden doen. Anders heb je de hele nummers (raw data, onaangepast) of geen nummers (want valt niet onder need-to-know).
De laatste cijfers hebben geen statitische waarde, het begin van een rekeningnummer wel. Dus wellicht wordt er gelogen over de bedoeling en/of dat wat er verloren is gegaan.
Of die rekening gegevens maakte toevallig deel uit van die datasets. Niet elke analyst zal exact die data uit de tabellen halen die hij nodig heeft, zeker als je niet van te voren weet wat je nodig gaat hebben voor een bepaalde analyse. Zeker als er wat haast in het spel is of onkunde een rol speelt.
Fout van beide kanten natuurlijk. Werknemer handelt in strijd met de regels van Ziggo, alhoewel ik het nog steeds ongeloofelijk vind dat men deze gevoelige! gegevens zomaar kan exporteren. Software anno 2013 moet toch in staat zijn om dergelijke handelingen te voorkomen. Daarnaast moet Ziggo gewoon zorgen dat alle externe apparaten versleuteld zijn. Apparaten en ouwe meuk die geen encryptie ondersteunen moeten gewoon de deur uit voor een op het oog 'professionele organisatie' als Ziggo.

Laten we hopen dat de laptop in goede handen belandt, anders kan dit toch wel tot imageschade leiden voor Ziggo.

[Reactie gewijzigd door Sniffert op 12 oktober 2013 14:06]

Werknemer handelt in strijd met de regels van Ziggo, alhoewel ik het nog steeds ongeloofelijk vind dat men deze gevoelige! gegevens zomaar kan exporteren. Software anno 2013 moet toch in staat zijn om dergelijke handelingen te voorkomen.
De databasedump kan toch voor hele valide doeleinden gemaakt zijn? Wat er mis ging is dat de data niet versleuteld werd en de informatiedrager (de laptop) gestolen werd.
En de zwakste schakel in de beveiliging ... Iemand die zich niet aan de voorschriften houdt ... Dat is helaas technisch niet op te lossen ...
Verplichte versleuteling van iedere pc (laptop en desktop) die aan het netwerk kan hangen. En daar wekelijks (automatisch) op controleren.
Procedure op gemiste controles en je bent al klaar.
"Het gaat om klanten die onlangs contact hebben gehad met de klantenservice"

...

Ik kreeg ook die brief vandaag

Terwijl ik al sinds november vorig jaar geen klant meer ben!

Ook stond er in mijn brief geen woord over bankrekeningnummers of delen ervan.
Erg vreemd.
Ik ga er maandag even langs, laat ze mij maar zien welke gegevens er gelekt zijn van mij.

Ook vreemd dat een bedrijf een incomplete database bewaard, immers wat heb je aan een databaseet een deel van een rekeningnummer.
Vermeld het helemaal, of helemaal niet...

Edit;
Er zijn geen delen van rekeningnummers gedeeld...
Maar een volledig ontkennen daarvan is er ook niet.
Ergo; niet een deel van mijn rekeningnummer stond erop, maar het gehele nummer?

[Reactie gewijzigd door paulvdwal op 13 oktober 2013 08:42]

Wie heeft het over het bewaren van een incomplete database? Het is gewoon een uittreksel van een deel van de database, gefilterd op enkele velden, en beperkt tot 40.000 personen
Ik vind het gewoon raar dat er bij contact met de klantenservice een bankrekeningnummer of delen ervan genoteerd zijn.

Wat voor nut heeft het om de laatste 4 cijfers te noteren?
Als verificatie?
Het contact is al geweest, dus een beetje nutteloos.

Ik zou, als ik een database beheer, en er moet een uittreksel van komen, alleen se relevante dingen erin zetten.
Is een bankrekening nummer relevant; dan het hele nummer vermelden
Is een bankrekening nummer niet relevamt; dan helemaal dat niet vermelden!

Ik weet niet hoe een database voor jou eruit ziet,
Maar bij mij is een database waar maar delen van informatie in staan wél incompleet.

[Reactie gewijzigd door paulvdwal op 13 oktober 2013 08:44]

Hoe is het relevant dat de laptop verouderd is? Hoe oud moet het kreng zijn dat ie geneens iets kan encrypten?
Je mag er toch vanuit gaan dat een dergelijke organisatie alles met BitLocker op orde heeft . Hier helaas 1 van de 40.000 brieven op de mat gevallen. Op zich zie ik verder geen direct gevaar, behalve dat er gerichtere SPAM uit voort zou kunnen gaan komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True