Als je geen idee hebt wie er bij die persoonsgegevens kan is er des te meer reden om aan te nemen dat het wel in verkeerde handen is gevallen. De kans dat het in goede handen valt bij personen die wel rechtmatig die persoonsgegevens mogen verwerken is nagenoeg 0 en de kans dat het in verkeerde handen valt is bijna 100% als iemand de usb stick aantreft.

Ondanks de meldplicht bedienen woordvoerders en bestuurders zich nog steeds van manieren om het verlies van persoonsgegevens te bagatelliseren. Bij de volgende aanpassing van de WBP zou daar een aanscherping op moeten komen.

Datalekkage onder het strafrecht laten vallen en medewerker strafrechtelijk vervolgen en laat onderhand maar eens mensen achter tralies gaan voor dit soort wantoestanden.

Da's van dezelfde onzinnige orde als een opmerking die luidt: "er is geen reden om aan te nemen dat de verloren portemonnee daadwerkelijk in verkeerde handen is gevallen."

Waarom is het eigenlijk mogelijk data op een usb te zetten?
Zoiets zet een goede beheerder uit.
Een goede werkgever zorgt voor veilig thuiswerken via vpn en een laptop van de baas met alle data server based. Geen mogelijkheid tot een datalek anders dan menselijke loslippigheid.

Genoeg mensen op de vloer die er heilig overtuigd zijn: dat omdat er geen technische maatregelen zijn genomen om iets af te schermen, het dan wel toegestaan is. Ook daar zit nog wat opvoeding of wel de cursus / leer uitdagingen.

Hoe zit het met een schade vergoeding?
Zodra er misbruik gemaakt kan worden, moet je al gaan beveiligen, je mag niet wachten tot het fout gaat, vergelijk het met een slot op je voordeur.
Laat de dader en/of verantwoordelijke gewoon €100,00 per geval reserveren, dan hebben we het over €2.250.000,00.

Ja... of: Gaat u rustig slapen. Er is voorshands geen reden tot paniek.
(https://nl.wikipedia.org/wiki/Hendrikus_Colijn#.27Ga_maar_rustig_slapen.27)

Ik vraag me dat direct een aantal zaken af bij het lezen van het zoveelste bericht van een datalek.

1. Wat is het doel om deze data op een USB stick te zetten?
2. Waarom BSN nummer, leerlingjaar etc? Heeft een Bibliotheek die echt nodig?
3. Waarom kunnen deze persoonsgegevens op deze grote schaal uit een informatiesysteem worden gehaald?
4. Wanneer verbieden we pakketten als Excel, datalek tool nummer 1.
5. Waarom "slechts" en stevig gesprek met deze medewerker?
6. Mooi gebaar naar de "slachtoffers" die 100 EURO die wordt voorgesteld, dar leert een bedrijf ook wel van...

Eerlijke mensen proberen het om je portemonnee terug te geven, dus ze zijn weer aan het bagatelliseren.

BSNs bij een bibliotheek? WTF?

Ik heb zelf als burger een aantal jaren bij een Nederlandse bibliotheek gewerkt en ik wil een paar opmerkingen plaatsen.

1. De NAW-gegevens van de klant zijn noodzakelijk om eventuele boetes te kunnen declareren. Er zijn genoeg klanten die geen goede betaal-moraal hebben en soms moet dan helaas een deurwaarder worden ingeschakeld. Bij ons gebeurde het dat tientallen brieven per week met de post moest worden meegegeven.

2. Een medewerker die een USB-stick gebruikt om persoonlijke gegevens van klanten mee te nemen om thuis te werken, heeft te maken met onvoldoende werktijd op zijn werk (zo leert de ervaring). Willen ze bij de bibliotheek voorkomen dat medewerkers op eigen houtje thuis-werk organiseren en gegevens kopiëren op een USB-stick, dan moet er voldoende back-officetijd aanwezig zijn, dus dagen dat een bibliotheek gesloten is voor het publiek en het personeel ongestoord achterstanden kan wegwerken. Bij ons was de maandag de hele dag back-officetijd.

3. Een "stevig gesprek" voor wie een burger of ambtenaar is die in overheidsdienst werkt, kan wel degelijk grote gevolgen hebben voor zijn of haar verdere loopbaan. Zeker voor een burger in overheidsdienst kan dit snel betekenen dat hij of zij de laan wordt uitgestuurd. Omdat ambtenaren niet zo makkelijk zijn te ontslaan, kunnen ze echter wel te maken krijgen met een soort straf-overplaatsing. Dit kan grote gevolgen hebben voor iemands carrière. Op z'n minst kan iemand zijn mooie baantje en ideale werkomgeving kwijtraken.

Hier moet toch de hoogste boete worden gegeven:

1) Zeer risicovol gedrag met persoonsgegevens
2) Illegaal gebruik van BSN. Waarom heeft een bibliotheek een BSN nodig?

Ik formatteer mijn usb stick altijd met een gecodeerd hfs+ formaat. Dat is hetzelfde als harde schijf encryptie. Je kunt zelfs je PC het wachtwoord laten onthouden zodat de usb direct bruikbaar is na insteken in je eigen PC.

Als je hem dan verliest kan nog niemand er iets mee. Enige nadeel is dat je die usb dan alleen op Apple systemen kan gebruiken want windows ondersteunt geen hfs+ formaat.

Het gebruikte bestandssysteem heeft geen bal met veiligheid te maken, gewoon data NIET meenemen en zorgen dat deze altijd versleuteld is.

Je citeert selectief. De bibliotheek meldt dat het ook niet volledig kan worden uitgesloten. Dat is ook onderdeel van hun reactie, en het is een relevant onderdeel.
En daar ben je al net zo selectief in het toepassen van kansrekening. Als iemand de USB-stick vindt dan zijn de gegevens per definitie in verkeerde (want ongeautoriseerde) handen (wat nog geen misbruik impliceert), maar hoe groot is de kans dat dat gebeurt? Die stick kan bij de medewerker thuis ergens achter zijn gevallen; hij kan onder de stoel van zijn auto opduiken als hij die over een half jaar een keer schoonmaakt; hij kan in de goot beland zijn en door de eerste de beste straatveegwagen van de gemeentereiniging worden opgeveegd en in de afvalverwerking belanden; hij kan in een put zijn gespoeld en de komende maanden tussen de rottende troep liggen, om uiteindelijk als die wordt leeggezogen in de afvalstroom belanden; hij kan tussen struiken liggen en pas na jaren door iemand aangetroffen worden in een staat waarin niemand de inhoud nog inspecteert; hij kan gevonden worden door iemand die bang genoeg is voor malware om het ding niet aan te koppelen en zo in de afvalstroom belanden; hij kan gevonden worden door iemand die hem wel gaat gebruiken maar die bij gebrek aan leuke filmpjes en plaatjes de inhoud meteen uit gebrek aan interesse weggooit; hij kan zelfs uiteindelijk gevonden worden door iemand die de inhoud alleen bekijkt om te zien of de rechtmatige eigenaar zo te achterhalen is.

Er zijn eindeloos veel scenario's te bedenken waarin het verlies van die USB-stick helemaal niet tot ellende leidt. Je kan het ook niet uitsluiten, dat klopt, maar dat doet de bibliotheek dan ook niet.

Ik vind dat er niets aan te merken is op de manier waarop de bibliotheek omgaat met het verlies van de USB-stick, dat doen ze keurig.

Wat is eogenlijm? Iets om elektronische ogen mee op een ondergrond te bevestigen? Wat voor privacy-implicaties heeft dat? ;-)

Of een goede systeembeheerder dat uitzet hangt af van de eisen die er gesteld worden. Mogelijk is thuiswerken met niet-privacygevoelige gegevens daar volkomen acceptabel en is transport via een USB-stick dat ook. Dan kan een goede systeembeheerder het niet maken om dat te blokkeren. De fout die de medewerker dan maakte is om gegevens die hij of zij niet mee had mogen nemen toch mee te nemen. De vraag is of dat per definitie met technische maatregelen geblokkeerd moet worden. Toen het allemaal nog niet digitaal ging stonden die dossiers misschien in een aparte kast en wisten medewerkers ook dat ze daar geen kopieën van mee naar huis mochten nemen.

En bedenk dat als je systeembeheerder dat goed dichttimmert daarmee nog niet geregeld is dat die systeembeheerder er zelf geen fouten mee kan maken. Denk aan al die berichten over backups met gevoelige gegevens die online komen te staan. En als je dat kan dichttimmeren dan moet je er nog op vertrouwen dat die systeembeheerder zo goed is in dat dichttimmeren dat daar weer geen fouten in gemaakt worden.

Je komt altijd op een punt uit dat je mensen moet vertrouwen. Zeker in kleinere organisaties die niet, zoals financiële instellingen, een ver doorgevoerde functiescheiding hanteren op allerlei terreinen zijn het gewoon de medewerkers zelf die vertrouwd worden.

Ik vind het erg vriendelijk van u dat u deze medewerker het hand boven het hoof houdt.

Bij mij kommen als reactie hierop een aantal vragen op.
1) NAW gevens bij een bibliotheek begrijp ik, andere gegevens al veel minder.

2) Dat de medewerker te weinig tijd heeft en daardoor thuis moet werken leid ik nergens van af. tevens denk ik dat een bibliotheek een data systeem heeft wat vanaf thuis bereikbaar is . Tevens verhinderd niemand encryptie van de data.
Vraag me ook af of de medewerker toestemming had om deze data mee te nemen. Als dit niet het geval is klinkt dat als datadiefstal.

3. Hieruit zou ik dan willen concluderen dat een stevig gesprek onvoldoende is om dit op de juiste manier aan te pakken.

U zie hier welke richting speculaties op kunnen gaan.

NTFS ondersteund wel versleuteling met certificaten.
Soms vraag ik me serieus af wat Nederlandse diploma’s eigenlijk voorstellen, sinds werknemers van bibliotheken ook goed opgeleid moeten zijn om er te kunnen werken.

Maar hoe wij omgaan met encryptie is nogal off-topic met hoe ze in de praktijk omgaan met andermans privacy.
(Europese werkwijze is net als elektriciteit: altijd de kortste en eenvoudigste weg)

Het effect van een hobbelende trein en eigenwijze smartphone met klein venster. Twee letters fout en wat woordjes verdwenen. Daar in die post hersteld

Blijft voor mij over: de hoofverantwoordelijke is "Directeur Thijs Torreman" niemand anders dan hij had de zaakjes niet op orde. Beetje flauw daarvoor niet de verantwoordelijkheid te nemen maar af te willen schuiven op de werknemer.
Dat er geen of te weinig budget is voor voldoende kennisoverdracht wegwerken achterstanden in de backoffice geen goede hulpmiddelen aan de mensen gegeven zijn , die taak verantwoordelijkheid ligt bij hem.

Leerling-nummers zijn BSN's met een schoolovereenkomst heb je daar dan direct mee te maken. Niet veel anders bij zorgverlening en declaraties, allemaal op je BSN gebaseerd. Het heette niet voor niet sociaal fiscaal nummer, kom op Jan.
Met die verspreiding van iets wat alleen dient om persoonsverwisseling in administraties te vermijden moet je een adequate test (authenticatie) voor de juiste persoon / BSN hebben. Enkel het noemen van een nummer als bewijs zien is onzin.

Waar leid je dat uit af? Niet om lullig te doen, maar ik merk wel op dat je vindt dat de aanname van een ander controleerbaar moet zijn terwijl je dat van je eigen aannames kennelijk niet vindt.
Ik vind dat werkdrukverhaal plausibel. Waarom zou iemand die te goeder trouw is überhaupt werk mee naar huis willen nemen als er voldoende tijd is om het op het werk te doen? Het is veel waarschijnlijker dat iemand zoiets doet om te proberen zijn of haar werk af te krijgen dan omdat hij of zij criminele intenties heeft. Als het uit werkdruk voortkomt pak je het probleem niet bepaald bij de kern aan door het als datadiefstal te gaan behandelen.

Ok, en nu even realistisch: WAT THE FUCK moet je met de address gegevens van bibliotheek bezoekers?!
We draaien echt door mensen...

In dit geval dus totaal wel want dit bestandssysteem is encrypted. En is alleen toegankelijk met de juiste key. Hij had ook kunnen zeggen dat hij een secure USB had gemaakt met TrueCrypt (vergeet altijd hoe het tegenwoordig heet).

Dat heb ik u hiervoor in mijn bijdrage uitgelegd. Zie tekst hieronder.

Maar als we dan verder kijken... Hoe groot is de kans dat van die 100% aantal, er ook werkelijk verkeerde dingen mee gedaan worden? Ondanks alle vele data lekken, wordt er toch maar zeer weinig misbruik van gemaakt. Sterk er nog volgens mij is dit bijna nagenoeg 0%. Misschien wat extra SPAM, maar veel meer wordt het momenteel niet misbruikt.

Hierop moet jij het toch zelf het antwoord op weten?

Een beheerder voert beleid uit, die maakt niet beleid, dat doet het management. Een beheerder geeft alleen advies....


Nadeel is alleen dat je nog steeds een datalek moet melden. Immers je USB stick is nog steeds verloren, als je hem verliest.
En in een centrale omgeving absoluut niet gewenst, dat gebruikers dit zo maar even kunnen. Dit moet centraal beheerd worden.

Is alleen jammer dat bijna geen bedrijf apple gebruikt.....

Ben ik met je eens. Er zijn zoveel niet zo slimme opmerkingen.... De jouwe vallen daar ook onder.
Waar moet de factuur naar toe verzonden worden? Dacht je dat de bibliotheek gratis was?
Nog even afgezien de boetes voor te laat terug brengen of niet terug brengen.
Bibliotheek, is vaak stad/dorp verbonden. Dus NAW gegevens zijn nodig.

Dat laatste klopt en ben ik het mee eens.
Niet voor niets eindig ik dat de enige die echt gefaald heeft de directeur zelf is. Dat hij de aandacht afleid om de schuld geheel bij een werknemer neer te leggen is zo mogelijk nog kwalijker. Zie mijn eerdere post. Ook met typo-s zal ik hem zo laten staan.