Privacy - Wat niemand over je mag weten

Opvragen/verstrekken documentnummer ID-kaart via DM Twitter

07-09-2017, 13:50 door Marcel Kruijer, 21 reacties
Graag zou ik willen weten of het is toegestaan dat een telefoonprovider via een DM (direct bericht) op Twitter vraagt om het documentnummer van een ID-kaart om op deze manier te kunnen controleren of de betreffende persoon ook de abonnee is.
Vanuit de kant van de klant is mijns inziens niet duidelijk te zien of het account ook van de betreffende provider is en het account niet is gehackt. Daarnaast vraag ik mij af of er überhaupt via deze weg (of andere onbeveiligde methode) om dit nummer mag worden gevraagd.
Reacties (21)
07-09-2017, 13:58 door Anoniem
Vragen kan natuurlijk altijd. Maar de klant zou verwezen moeten worden naar een fysiek steunpunt om de actie af te ronden. Alleen op die manier is gewaarborgd, dat de gegevens veilig zijn/blijven. Een account kan gehackt zijn, er kan een fake account gebruikt worden (let b.v. op typo's in de naam) en je weet zelfs bij een legitiem contact niet, of de gegevens alleen worden opgenomen in het beveiligde systeem waarin dit thuis hoort. Als je dit is overkomen, misschien eens contact opnemen met de AP?
07-09-2017, 14:42 door Marcel Kruijer
Mag een bedrijf er dus wel om vragen? Het bedrijf in kwestie vraagt een klant/leek om via een onbeveiligde weg deze specifieke gegevens te verstrekken, terwijl zij degene zouden moeten zijn die van deze regelgeving op de hoogte zijn.
Is het niet het bedrijf wat mijn gegevens moet beschermen?
07-09-2017, 16:08 door Anoniem
Door Marcel Kruijer: Mag een bedrijf er dus wel om vragen? Het bedrijf in kwestie vraagt een klant/leek om via een onbeveiligde weg deze specifieke gegevens te verstrekken, terwijl zij degene zouden moeten zijn die van deze regelgeving op de hoogte zijn.
Is het niet het bedrijf wat mijn gegevens moet beschermen?
Twitter DM is "Direct Message". Een privé verbinding op Twitter dus. Als alles goed werkt, leest er niemand anders mee.
Op zich best handig. Maar je mengt Twitter er als derde partij bij in (zodat ze elkaar de schuld gaan geven als er iets mis gaat terwijl jij machteloos aan de kant staat).
En zoals je zelf al zegt: hoe authenticeer je de vragende partij?
Ik zou er persoonlijk niet mee in zee gaan. Genoeg andere telecomaanbieders in mijn buurt.
07-09-2017, 18:07 door Anoniem
@Anoniem 16:08
Twitter is een derde partij die mee leest. Het is geen directe verbinding waarbij niemand anders mee leest.

@Marcel Kruijer
Nee een bedrijf mag niet om gegevens vragen op een wijze die niet door de AP goedgekeurd is (met alle nodige beveiligingen enz enz). Maarja, als de gemiddelde klant het wil, weeg het maar af.
07-09-2017, 23:41 door Anoniem
Twitter is een derde partij die mee leest. Het is geen directe verbinding waarbij niemand anders mee leest.
Twitter leest niet. Twitterservers slaan communicatie op met alles wat er bij hoort om het verder te kunnen verwerken.
08-09-2017, 07:30 door karma4
Het is een kosten baten afweging. Een fysiek steunpunt met menselijke controles is duur en daar kan ook het nodige fout gaan.
Als de telco het verkrijgen van een Id nummer als een toets met een grotere waarschijnlijkheid dat het de juiste persoon is is er weinig aan de hand.
Ik bedoel daarmee dat de telco opdraait voor de kosten als duidelijk of waarschijnlijker is dat het toch niet klopt.
Nieuwe telefoons afleveren met abonnementen waar de persoon niets te zoeken heeft er geen relaties zijn etc. Dat is oplichting waar het slachtoffer een vergoeding van de telco zou moeten krijgen wegens de overlast.
Helaas zijn het de grote machtige incasso_s die gewoon doorgaan met verhalen op slachtoffers.
08-09-2017, 09:36 door Anoniem
Door Anoniem: Nee een bedrijf mag niet om gegevens vragen op een wijze die niet door de AP goedgekeurd is (met alle nodige beveiligingen enz enz).

Is een documentnummer een persoonsgegeven dan? Een paspoort of rijbewijsnummer lijkt mij persoonlijk van een andere categorie dan een BSN of zo. Zie eigenlijk niet wat een "boefje" met een rijbewijsnummer zou kunnen doen...
08-09-2017, 09:51 door Anoniem
Graag zou ik willen weten of het is toegestaan dat een telefoonprovider via een DM (direct bericht) op Twitter vraagt om het documentnummer van een ID-kaart om op deze manier te kunnen controleren of de betreffende persoon ook de abonnee is.

Natuurlijk mag men dat vragen. En jou staat het vrij om 'nee' te zeggen. Of om te vragen om een meer veilige manier om deze informatie aan hen te verstrekken.

Nee een bedrijf mag niet om gegevens vragen op een wijze die niet door de AP goedgekeurd is (met alle nodige beveiligingen enz enz).

Incorrect; je bent zelf degenen die de beslissing neemt wel/niet op deze manier gegevens te verstrekken; zij zijn de ontvangende partij bij deze data.

Je lijkt te vergeten dat mensen ook een eigen verantwoordelijkheid hebben. En er bestaat geen regel dat jij je eigen ID kaart document nummer niet aan derden mag verstrekken op een veilige, danwel onveilige, manier. Een telco is zo'n derde partij.

Indien jij je ID kaart nummer telefonisch door wil geven, dan gebruik je ook geen encryptie. Toch kan (net als bij Twitter) de partij die het communicatie kanaal levert de informatie ook benaderen.

Toch vraagt niemand of een bedrijf je mag vragen om dergelijke gegevens in een telefonisch gesprek.
08-09-2017, 10:42 door Anoniem
Ik zou er als bedrijf niet om vragen. Immers: je hebt als bedrijf geen enkel zicht op hoe twitter z'n veiligheid waarborg.

Als je het zelfs stuurt (omdat ze vragen het op te sturen maar jij kiest voor deze methode die ze verder niet vertelde) is het wat anders: dan is het jouw keuze dat te doen.
08-09-2017, 12:25 door Anoniem
Ik zou er als bedrijf niet om vragen. Immers: je hebt als bedrijf geen enkel zicht op hoe twitter z'n veiligheid waarborg.

Telefonisch moet je ook vaak genoeg gegevens verstrekken aan een bedrijf. Hebben bedrijven zicht op de vraag hoe telco's hun veiligheid waarborgen ? Hoe zit dat met documenten, die per post worden verstuurd ? Hebben bedrijven zicht op de vraag hoe postbedrijven hun veiligheid waarborgen ?

Met iedere vorm van communicatie kan je dit als probleem naar voren schuiven. Toch blijven we allemaal communiceren, en gegevens uitwisselen. Twitter biedt in ieder geval een encrypted channel. Dat doet de post niet, en de telco ook niet. Bij al deze bedrijven kunnen kwaadwillende insiders mogelijk bij je gegevens.

Biedt een encrypted DM via Twitter meer of minder veiligheid dan alternatieven, die veelal plain text zijn. Of analoog, op papier ?
08-09-2017, 13:06 door Anoniem
Door Anoniem:
Ik zou er als bedrijf niet om vragen. Immers: je hebt als bedrijf geen enkel zicht op hoe twitter z'n veiligheid waarborg.

Telefonisch moet je ook vaak genoeg gegevens verstrekken aan een bedrijf. Hebben bedrijven zicht op de vraag hoe telco's hun veiligheid waarborgen ? Hoe zit dat met documenten, die per post worden verstuurd ? Hebben bedrijven zicht op de vraag hoe postbedrijven hun veiligheid waarborgen ?

Met iedere vorm van communicatie kan je dit als probleem naar voren schuiven. Toch blijven we allemaal communiceren, en gegevens uitwisselen. Twitter biedt in ieder geval een encrypted channel. Dat doet de post niet, en de telco ook niet. Bij al deze bedrijven kunnen kwaadwillende insiders mogelijk bij je gegevens.

Biedt een encrypted DM via Twitter meer of minder veiligheid dan alternatieven, die veelal plain text zijn. Of analoog, op papier ?

Bij analoge communicatie kun je kiezen voor een aangetekende brief. Daarvan zijn de procedures heel duidelijk, van het document is de gehele weg vanaf aanbieden tot afleveren te volgen, wie er bij konden en wanneer. Zorg je er bovendien voor dat openen betekent, dat de verpakking blijvende schade oploopt, dan kan de ontvanger verifiëren dat het in goede orde is aangeleverd. Dat is i.i.g. veiliger, dan over de telefoon geven, of via een DM systeem van een derde partij aanleveren.
08-09-2017, 13:27 door Anoniem
Als het zo niet in hun actuele voorwaarden staat of in hun privacy statement, dan zou ik bezwaar maken en om een alternatief vragen. Of mogelijk zou ik gewoon een ander telecombedrijf zoeken, aangezien ze zich merkwaardig opstellen door zich niet eens aan hun eigen actuele voorwaarden te houden.

Het is de vraag waar een telecombedrijf je documentnummer voor nodig heeft. Het AP zegt dat de enige reden kan zijn om zich enigszins van de abonnementsgelden te verzekeren.
Maar dat dit dus net zo goed zou kunnen door bijv. even 0.01 cent naar hun over te maken van je bankrekening met een mededeling waarom je dat doet. Je bankrekening is immers persoonsgebonden en ook aan jouw persoon gekoppeld, en is dus gewoon een soort identificatie. Ook als je bijv. alleen een abonnement wilt wijzigen is dit zelfs een prima methode om mee te bevestigen dat echt jij dit wil en geen grappenmaker of telefoondief of zo.
Alleen wel even oppassen dat je die 0,01 cent dan overmaakt naar de bedrijfsrekening op naam van het telefoonbedrijf.
Niet naar een privépersoon.
08-09-2017, 13:36 door Anoniem
Bij analoge communicatie kun je kiezen voor een aangetekende brief

Kan digitaal ook. Belastingdienst doet dat niet analoog, en ook niet digitaal. Indien jij een document nummer door moet geven aan de belastingdienst, doe jij dat dan trouwens per aangetekende brief ? ;)
08-09-2017, 13:39 door Anoniem
Biedt een encrypted DM via Twitter meer of minder veiligheid dan alternatieven, die veelal plain text zijn.
Als je een encryped DM wilt moet je dat zelf encrypten. Twitter doet het niet voor je.
Met PGP bijvoorbeeld. Maar dat's dan weer niet voor iedereen weggelegd.
08-09-2017, 14:36 door Anoniem
Als je een encryped DM wilt moet je dat zelf encrypten. Twitter doet het niet voor je.

Twitter is encrypted by default, HTTPS wordt geforceerd.
08-09-2017, 15:43 door Anoniem
Door Anoniem:
Als je een encryped DM wilt moet je dat zelf encrypten. Twitter doet het niet voor je.

Twitter is encrypted by default, HTTPS wordt geforceerd.

Dan heb je het over de verbindingen. Maar op de twitterserver komt het in plain te staan.
Tenzij je zelf voor encryptie zorgt.
15-09-2017, 12:28 door Anoniem
Wordt nog leuk als iemand die berichten gaat liken.
15-09-2017, 15:31 door Anoniem
Dan heb je het over de verbindingen. Maar op de twitterserver komt het in plain te staan.
Tenzij je zelf voor encryptie zorgt.

Klopt. Dat is overigens niet anders indien mensen dergelijke informatie verstrekken via de email. Ook daar kunnen naast zender en ontvanger ook medewerkers van een provider bij de informatie. Tenzij je natuurlijk PGP ofzo gebruikt. Toch kijken mensen anders tegen zoiets doorsturen per Twitter DM, dan per email. Principe is niet veel anders.

Is de email van Ziggo veiliger dan de DM van Twitter, om maar een voorbeeld te nemen ?
15-09-2017, 15:31 door Anoniem
Wordt nog leuk als iemand die berichten gaat liken.

Hoe like jij een DM waar je geen toegang toe hebt ?
15-09-2017, 15:42 door Anoniem
Daarnaast vraag ik mij af of er überhaupt via deze weg (of andere onbeveiligde methode) om dit nummer mag worden gevraagd.

Je beseft je dat zelfs telefonisch onbeveiligd is ? Als ook het tonen je ID gegevens in een winkel ?
15-09-2017, 17:23 door Anoniem
Door Anoniem:
Wordt nog leuk als iemand die berichten gaat liken.

Hoe like jij een DM waar je geen toegang toe hebt ?

Je hebt ook nog een ontvanger van het bericht die het leuk vind dat iemand zijn paspoortnummer toezendt... ;)

En omdat hersenen en hand die de muis bedient op den duur een autonome eenheid worden,
heeft de ontvanger al geliket voordat ie het wist.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.