Niet voor het eerst als je de financiële wereld ook meeneemt.

Dit kon dus omdat er te veel rechten was toegekend aan de energie leverancier. Met andere woorden, een menselijke fout!

Dit maakt pijnlijk duidelijk waarom het verzamelen van allerlei data (slimme-meter) niet verstandig is. Want wie controleert wie waar bij mag en kan? En wie controleert die dan weer.... etc?

Oplossing is gewoon stoppen met het verzamelen van data!

TheYOSH

Goh..

Het vervelende is dat gegevensbescherming nog steeds tombstone technology is. Alle toezeggingen inclusief dat wie niets te verbergen heeft, niets te vrezen heeft ten spijt is het nog steeds zo dat er eerst mensen geKowsolea'd moeten worden voor voor de hand liggende verbeteringen worden doorgevoerd.

Ten dele is dit de wrange erfenis van het 'Je hebt toch niets te verbergen?' refrein, een waar we de eerste paar decennia nog mee te maken zullen hebben...

wil je weten waar jouw gegevens bekend zijn? http://www.xipio.nl/nieuws/waar-zijn-jouw-gegevens-bekend/

Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn.

Dat kan in veel gevallen niet, maar er moet niet meer data verzameld worden dan noodzakelijk. Doen organisaties dat toch, en wordt data gelekt, dan horen daar wat mij betreft stevige straffen bij.

Data-hoarding is nu veel te lucratief terwijl de risico's (voor de hoarders, over de ruggen van -in dit geval notabene betalende- klanten) nagenoeg nul zijn.

Het eerste klopt. Het probleem is dat het behoorlijk inrichten van een data governance met de adequate security geen prioriteit heeft totdat .... Het pro actief goed inrichten wordt als te lastig en veel te duur gezien.

Het tweede in niet haalbaar. je kunt ook stellen dar de verlichting en industrialisatie nooit hadden mogen plaatsvinden. Terug naar de middeleeuwen. Behalve ongezond (lage levensverwachting) ook geen enkele privacy.
Alleen als je al je IT apparatuur zelf de deur uit doet ben je consistent om geen dataverzameling te willen.
Er zijn niet enkel negatieve zaken met het leren uit data er zijn ook vele positieve kanten. Probeer het leven van nu maar eens te vergelijken met pak weg 250 jaar terug. (ca 10 generaties)

De oplossingspaden die ik zie:
- maak het inrichten van een behoorlijke adequate security eenvoudig. Te starten met begrijpelijk voor de beslissers.
Kom op met de ideeën en voorstellen security specialisten
- Stel voorbeelden met beslissers hoofdelijk aansprakelijk te stellen bij opzettelijk acties dit tot data lekken geleid hebben.

Dat staat er hier voor de betrokken gegevens niet.
Het gaat om de jaarverbruik en de contracten. Dat is financieel interessant als ze je zouden mogen benaderen.
Tenzij je vele maanden / jaren (sabbatical) van huis bent kun je daarmee niet zien of je nu thuis bent ja/nee.
In geval van een sabattical zal er veel informatie zijn die dat aangeeft.
Als we een oordeel over big data processen geven moeten we er wel in thuis zijn en de vrijgekomen informatie begrijpen. Als we dat niet doen zijn we enkel met fud en angsten bezig.

Voor je gaat stomen. In mijn eerste reactie zie je dat in de basis gelijkgestemd zijn. We zien beide mogelijk te veel wat er n de praktijk gebeurt en waar het rammelt.

In dit geval niet nee maar het is natuurlijk wel prima mogelijk als een insider gegevens kan lekken op zo'n manier.

Ik ben het met Karma eens dat security procedures beter moeten omdat het stoppen van het verzamelen van klant gegevens niet zal gebeuren. Het mag gewoon niet op straat kunnen belanden door procedurele fouten.

Opvallende formulering. Daar staat dus niet dat dit de eerste keer is dat gegevens uit het systeem zijn gestolen. Hier mag je haast concluderen dat men niet weet of dit de eerste keer is of dat er al eerder gegevens zijn gestolen. Beide situaties stellen niet gerust wat betreft de beveiliging van persoonsgegevens van een paar miljoen Nederlanders. Bij het stelen van gegevens gaat het in eerste instantie niet om de schaal maar dat er gestolen kan worden en gestolen is. Ieder voorval is al strafbaar.

Als dit niet de eerste keer blijkt dat persoonsgegevens zijn gestolen dan had Netbeheer Nederland aan mogen nemen dat de bescherming van de gegevens niet passend was. Er lijkt niets aangepast die de diefstal(len) erna onmogelijk maakte en dus is de bescherming (nog steeds) niet passend. Het niet passend beschermen van persoonsgegevens is strafbaar onder dezelde wet bescherming persoonsgegevens die ongeoorloofde verwerken van persoonsgegevens strafbaar stelt.

Zoals. Zoals gebruik je als je een selectie maakt. Kennelijk vinden ze het bij Netbeheer Nederland niet relevant om precies aan te geven welke gegevens er gestolen zijn. Maar daarmee weten 2 miljoen huishoudens dus niet welke gegevens er precies van ze gestolen zijn. Het voorbeeld dat de gegevens misbruikt kunnen worden om per post een aanbieding te doen wekt daarnaast ook nog de indruk dat er ook adresgegeven bekend zijn. Waarom is Netbeheer Nederland niet gewoon open over de gegevens die gestolen zijn en gebruiken ze zinnen die sturend antwoord geven waar 2 miljoen huishoudens zich om mogen bekommeren.

Het is ook onacceptabel dat André Jurjus met zijn Netbeheer Nederland geen verantwoordelijkheid neemt om miljoenen persoonsgegevens effectief te beschermen tegen ongeoorloofde inzage en massale diefstal door de bedrijven aan wie ze die toegang vergeven. Wat Netbeheer Nederland doet is die verantwoordelijkheid afschuiven op de bedrijven die u bewust de mogelijkheid geeft om vrij al die persoonsgegevens in te zien. In de contracten is mogelijk fraai juridisch met handtekeningen afgedekt dat niet Netbeheer Nederland maar die aangesloten bedrijven de verantwoordelijkheid nemen om alleen in persoonsgegevens bij Netbeheer Nederland te kijken waar ze recht op hebben.Practisch heeft dat geen enkele bescherming tegen ongeoorloofde inzage en is ook geen aanvulling op de wettelijke verplichtingen die voortvloeien uit de Wbp. Daar is niet alleen voor gewaarschuwd maar nu ook weer bewezen dat een juridische overeenkomst misbruik niet voorkomt. Net als dat de wet niet voorkomt dat de wet niet zal worden overtreden. Het geeft alleen Netbeheer Nederland meer juridisch armslag om achteraf, als het veel te laat is, sterker in een juridisch gevecht te staan. Daar hebben die miljoenen huishoudens geheel niets aan nu de persoonsgegevens zijn gestolen. Het maakt de diefstal niet ongedaan, het neemt de mogelijkheid tot misbruik niet afdoende weg en doet geheel geen recht aan de bescherming die uit moet gaan van de Wbp. Als het te laat is, dan ontneemt Netbeheer Nederland pas rechten. Dat is geen bescherming maar misplaatste machtsvertoon die niets minder mogelijk maakt dan juridisch al was overeengekomen. Een maatregel die waar Netbeheer Nederland wettelijk zelf al had moeten doorvoeren bij dit bedrijf EN alle andere bedrijven die in hun database met persoonsgegevens kunnen graaien.

Zou André Jurjus of Netbeheer Nederland het een goed idee vinden om een bedrijfsmodel te voeren waarbij bedrijven met een simpele handtekening plechtig beloven geen misbruik van de situatie te maken dat ze de huissleutel van alle medewerkers van Netbeheer Nederland bij de deal krijgen om uit te delen onder hun personeel? Als er een handtekening op papier staat dan zijn die huishoudens toch prima beschermt.

Op elk adres wordt energie afgenomen. Het enige wat de bezitter van de lijst extra heeft is een naam bij een adres.

En weer zo'n actie waarin wij burgers onvoldoende worden geïnformeerd. En wie houd tegen weer een overheid instantie.
De gehele privacy wetgeving kan mij betreft de vuilnisbak in.

En niet zomaar een naam/adres combo. Je weet zeker dat deze klopt. Dat is bij veel marketing databases die gejat worden wel anders.

De netbeheerders zijn aan strenge privacyregels gebonden omtrent slimme meters.

De meterstanden mogen wettelijk slechts in vier gevallen worden uitgelezen:

- één keer per jaar voor uw jaarafrekening,
- zes keer per jaar (om de twee maanden) voor het tweemaandelijkse verbruik- en kostenoverzicht,
- als u overstapt naar een ander energiebedrijf of als u verhuist,
- incidenteel wanneer dat nodig is voor het beheer of onderhoud van het energienet.

Vaker wordt de slimme meter niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven. Bijvoorbeeld voor een Energieverbruiksmanager. Wordt uw slimme meter uitgelezen voor noodzakelijk beheer van het energienet? Dan zal uw netbeheerder u hierover informeren volgens de Wet Bescherming Persoonsgegevens.

Uit https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2014/04/07/beantwoording-vragen-ontwerpbesluit-grootschalige-uitrol-slimme-meters/beantwoording-vragen-ontwerpbesluit-grootschalige-uitrol-slimme-meters.pdf:

Omdat niet iedereen het lijkt te begrijpen, nog maar eens:

Of er in de door de redactie beschreven casus gedetailleerde gebruiksgegevens uit slimme meters zijn gestolen, weten we niet; uit [1], nadruk door mij:
Hoewel ik het zeker niet uitsluit, schreef ik in mijn bijdrage van 13-09-2016, 21:20 nergens dat bij deze kopieeractie andere verbruiksgegevens dan jaarverbruik en/of verkregen via slimme meters zouden zijn gestolen.

Wat ik bedoel (en wat Anoniem "YheYOSH" en NedFox ook al aangaven) is dat bij energieleveranciers en/of -tranporteurs (zoals bij elke organisatie) ook onbetrouwbare mensen kunnen werken - iets dat in deze casus wel zeker lijkt. Met als gevolg: hoe meer gegevens van jou binnen handbereik zijn van dat soort mensen, hoe groter de risico's die je loopt.

En als ik dan lees, eveneens in [1]:
Hè gelukkig, nu heb ik er het volste vertrouwen in dat dit soort incidenten nooit meer voor kunnen komen (not).

Met die "oplossing" na deze blunder, en het kennelijke feit dat mijn energieleverancier (want kennelijk doen alle energieleveranciers dat) energiejaarverbruikcijfers (en wie weet welke vertrouwelijke gegevens nog meer), zonder mijn toestemming, doorspeelt naar zo'n centrale club met een dergelijk beveiligingsbeleid, ben ik blij dat ik de mij onlangs opgedrongen simme meter geweigerd heb. En dat ik daarbij Stedin niet een van mijn gewone e-mail adressen gegeven heb, maar een unieke alias (zie [2]). Ik ben benieuwd of "zoals" ook e-mail adressen omvat en ik binnenkort gespamd word op die alias.

[1] http://www.netbeheernederland.nl/nieuws/nieuwsbericht/?newsitemid=2596339712
[2] https://www.security.nl/posting/483148/Stedin+eist+e-mail+adres

Wie steelt is een dief.

Eind vorige eeuw maakten sommige "Big Data" verzamelaars gebruik van stromannen (of vrouwen) die doodgewoon ergens aan het werk gingen om te kijken wat ze konden graaien aan klantendata en persoonsgegevens etc. om deze daarna stiekem door te spelen als voer voor een Big Data systeem. Desnoods liegen ze over de opleiding om de baan te krijgen. Heel enge lui. Heb toen al een keer gehoord van zo iemand die bij toenmalig energiebedrijf Rotterdam ontslagen was omdat ze de gegevensdiefstal hadden ontdekt. Is dus niet nieuw, alleen meestal kwam het niet zo in de publiciteit.

Erik je betoog van 22:21 bevat als belangrijkste argument dat er niet vanuit gegaan mag worden dat alle medewerkers altijd betrouwbaar en ethisch handelen. Met de vele voorbeelden van de leiders die onbetrouwbaar en niet ethisch bleken is dat een gegeven.
Ergo: de interne procedures en maatregelen dienen dusdanig te zijn dat misbruik geconstateerd kan worden (ids siem telemetry gebruik big data) dat de tevhnische maatregelen overeenkomstig risico impact zijn en dat bij events adequaat gereageerd wordt.

De rest over ze zouden zien dat.. Is fud (fear uncertainty doubt) een strategie om juist niets effectief te doen.