GGD-medewerkers opgepakt voor handel in privédata uit coronasystemen
De politie heeft afgelopen zaterdag twee GGD-medewerkers opgepakt voor het te koop aanbieden van persoonsgegevens uit twee coronasystemen van de GGD, zo meldt de politie vandaag. De gegevens werden op Telegram te koop aangeboden. Het onderzoek dat na de ontdekking werd ingesteld leidde naar twee medewerkers van het callcenter van de GGD. Het gaat om een 21-jarige man uit Heiloo en een 23-jarige man uit Alblasserdam. De woningen van de mannen zijn doorzocht en computers in beslag genomen.
De aangeboden persoonsgegevens bestaan volgens de politie uit onder andere naam, adresgegevens en geboortedatum. RTL Nieuws meldt dat ook burgerservicenummers werden aangeboden. De gegevens zijn afkomstig uit twee GGD-systemen: CoronIT en HPzone Light. HPzone Light is het informatiesysteem dat de Nederlandse GGD’s voor het bron- en contactonderzoek gebruiken en waaruit het RIVM de dagelijkse besmettingscijfers haalt.
CoronIT is het digitaal registratiesysteem dat GGD'en ondersteunt met het aanmelden van te testen mensen, het inplannen van afspraken voor te testen mensen, afname en registratie van monsters, het vastleggen van testuitslagen en het genereren van landelijke en regionale overzichten van het aantal afgenomen testen en resultaten. 26.000 GGD'ers en callcentermedewerkers van de testlijn hebben hier toegang toe.
"Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf. Politie en Openbaar Ministerie zitten hier bovenop", zo laat de politie weten. De twee verdachten werden na de melding van de aangeboden gegevens binnen 24 uur opgepakt. Meer aanhoudingen sluit de politie niet uit. Of er ook mensen zijn die de gegevens hebben gekocht valt volgens de politie op dit moment nog niet uit te sluiten. Het onderzoek loopt nog. De GGD heeft bij de politie aangifte van computervredebreuk gedaan en het datalek bij de Autoriteit Persoonsgegevens gemeld.
Reacties (28)
Zoveelste voorbeeld waarom het uitgangspunt moet zijn om zo min mogelijk gegevens op te slaan! Alles lekt een keer uit.
Ik ben onlangs ook slachtoffer geworden van een grote datalek, terwijl ik altijd zeer zorgvuldig omga met mijn persoonsgegevens. Helaas ben je verplicht om aan sommige partijen je echte gegevens af te staan en die liggen nu dus op straat.
Ik krijg voortaan 10 phishingmails per dag, 15 reclamemails, 5 reclame SMS-berichten en een paar keer per week call centers die me iets proberen aan te smeren of op te lichten uit binnenland en buitenland.
Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee. Ik gebruik alleen nog maar e-mailaliassen (voor elke dienst een) en alleen mijn echte naam als het echt moet. Waarom moet een energieleverancier eigenlijk mijn echte naam weten? Telefoonnummer? Waarom moet een webshop mijn echte naam weten? Geboortedatum? Telefoonnummer? Ik laat het wel bezorgen in een afhaalkluis met een fake naam.
Dat die testlocaties (ook de commerciële) je ID-kaart of paspoort moeten zien (en deze vervolgens inscannen en onveilig bewaren en verspreiden!!, zie Nieuwsuur van afgelopen donderdag https://nos.nl/nieuwsuur/artikel/2365425-inzage-in-gegevens-van-tienduizenden-geteste-nederlanders-van-model-tot-militair.html) is al belachelijk.
De nonchalante en het gemak waarmee organisaties nog steeds onnodig veel data van je vergaren en bewaren, omdat ze vinden "dat het moet" en ze heus wel onze "privacy serieus nemen" om er vervolgens achter te komen dat het weer misbruikt wordt, gekoppeld wordt aan andere datasets, uitlekt of verkocht wordt aan de hoogste bieder.
Trieste wereld. En je staat redelijk machteloos tegenover dat tuig.
Ik ben onlangs ook slachtoffer geworden van een grote datalek, terwijl ik altijd zeer zorgvuldig omga met mijn persoonsgegevens. Helaas ben je verplicht om aan sommige partijen je echte gegevens af te staan en die liggen nu dus op straat.
Ik krijg voortaan 10 phishingmails per dag, 15 reclamemails, 5 reclame SMS-berichten en een paar keer per week call centers die me iets proberen aan te smeren of op te lichten uit binnenland en buitenland.
Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee. Ik gebruik alleen nog maar e-mailaliassen (voor elke dienst een) en alleen mijn echte naam als het echt moet. Waarom moet een energieleverancier eigenlijk mijn echte naam weten? Telefoonnummer? Waarom moet een webshop mijn echte naam weten? Geboortedatum? Telefoonnummer? Ik laat het wel bezorgen in een afhaalkluis met een fake naam.
Dat die testlocaties (ook de commerciële) je ID-kaart of paspoort moeten zien (en deze vervolgens inscannen en onveilig bewaren en verspreiden!!, zie Nieuwsuur van afgelopen donderdag https://nos.nl/nieuwsuur/artikel/2365425-inzage-in-gegevens-van-tienduizenden-geteste-nederlanders-van-model-tot-militair.html) is al belachelijk.
De nonchalante en het gemak waarmee organisaties nog steeds onnodig veel data van je vergaren en bewaren, omdat ze vinden "dat het moet" en ze heus wel onze "privacy serieus nemen" om er vervolgens achter te komen dat het weer misbruikt wordt, gekoppeld wordt aan andere datasets, uitlekt of verkocht wordt aan de hoogste bieder.
Trieste wereld. En je staat redelijk machteloos tegenover dat tuig.
Afgezien van dat het vast wel weer aan de wet voldaan heeft... de monitoring blijkbaar ook gewerkt heeft...
Waarom staan die gegevens überhaupt in een database? Meer dan het nummertje van de test en een telefoonnummer hoeft het niet te zijn.
De mensen die het betreft zijn natuurlijk weer het haasje. Informatie kun je nou eenmaal niet terug halen. Hoe zwaar je de daders ook straft.
De afloop is bekend. Glas. Plas. Was.
Waarom staan die gegevens überhaupt in een database? Meer dan het nummertje van de test en een telefoonnummer hoeft het niet te zijn.
De mensen die het betreft zijn natuurlijk weer het haasje. Informatie kun je nou eenmaal niet terug halen. Hoe zwaar je de daders ook straft.
De afloop is bekend. Glas. Plas. Was.
Het lijkt me dat te veel mensen toegang hebben tot te veel data.
Kan de overheid ALSJEBLIEFT worden tegengehouden met dit soort systemen. Zeker nu De Jonge ook weer perse een database wil met alle mensen die gevaccineerd zijn. Je kunt raden waarvoor die database gebruikt gaat worden:
1) mensen discrimineren die niet gevaccineerd zijn (met het vaccinatiebewijs), gefaciliteerd door de overheid;
2) misbuik van de data door onbevoegden
En je staat machteloos tegen deze partijen die altijd beloven dat ze "goed met je privacy omgaan" maar desondanks toch even ALL je gegevens nodig hebben en deze voor zeer lange tijd opslaan.
Vijanden van het volk.
Kan de overheid ALSJEBLIEFT worden tegengehouden met dit soort systemen. Zeker nu De Jonge ook weer perse een database wil met alle mensen die gevaccineerd zijn. Je kunt raden waarvoor die database gebruikt gaat worden:
1) mensen discrimineren die niet gevaccineerd zijn (met het vaccinatiebewijs), gefaciliteerd door de overheid;
2) misbuik van de data door onbevoegden
En je staat machteloos tegen deze partijen die altijd beloven dat ze "goed met je privacy omgaan" maar desondanks toch even ALL je gegevens nodig hebben en deze voor zeer lange tijd opslaan.
Vijanden van het volk.
25-01-2021, 17:59 door
karma4
Het gaat er niet om dat de naam bekend is. Ooit was je trots als je in het telefoonboek opgenomen mocht worden.
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Door karma4: Het gaat er niet om dat de naam bekend is. Ooit was je trots als je in het telefoonboek opgenomen mocht worden.
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Ik denk dat je tegenwoordig ook gewoon niet meer trots zou moeten zijn als je naam en nummer ergens publiekelijk vermeld worden zoals vroeger in het telefoonboek. Het is tegenwoordig veel makkelijker om deze data geautomatiseerd in te lezen, te verspreiden en te misbruiken dan vroeger met zo'n telefoonboek. Spammers betalen tegenwoordig grof geld voor een lijst met daadwerkelijk bestaande telefoonnummers. Tegenwoordig is het al een probleem als je naam en nummer op straat liggen.
Door Anoniem: Afgezien van dat het vast wel weer aan de wet voldaan heeft... de monitoring blijkbaar ook gewerkt heeft...
Waarom staan die gegevens überhaupt in een database? Meer dan het nummertje van de test en een telefoonnummer hoeft het niet te zijn.
De mensen die het betreft zijn natuurlijk weer het haasje. Informatie kun je nou eenmaal niet terug halen. Hoe zwaar je de daders ook straft.
De afloop is bekend. Glas. Plas. Was.
Waarom staan die gegevens überhaupt in een database? Meer dan het nummertje van de test en een telefoonnummer hoeft het niet te zijn.
De mensen die het betreft zijn natuurlijk weer het haasje. Informatie kun je nou eenmaal niet terug halen. Hoe zwaar je de daders ook straft.
De afloop is bekend. Glas. Plas. Was.
Ik ben het helemaal met je eens. Commerciële testlocaties verzamelen ook al deze gegevens (id-kaart, geboortedatum, etc) en beperken zich ook niet tot alleen je naam en telefoonnummer. En daar gaat het tevens flink mis, zoals hier valt te lezen:
https://nos.nl/nieuwsuur/artikel/2365425-inzage-in-gegevens-van-tienduizenden-geteste-nederlanders-van-model-tot-militair.html
Ik denk dat ze willen dat je je legitimeert, zodat je niet een test kunt laten afnemen op naam van iemand anders. Dit voorkomt dat er op naam van diegene een negatieve testverklaring ontstaat, om bijvoorbeeld te reizen, terwijl deze persoon in het echt corona heeft. Echter, hiervoor is legitimeren (het tonen van je id-kaart om je identiteit vast te stellen) voldoende om na te gaan of je daadwerkelijk bent wie je zegt dat je bent. Het inscannen en kopiëren van je ID-kaart (zoals gebeurt bij die commerciële teststraten, zie artikel hierboven) is echt belachelijk en gevaarlijk. Al helemaal doordat ze er zo onverantwoord mee om springen. Je moet je ook nog eens voorstellen, dat al die medewerkers van die teststraten die lid zijn van die app-groepen waarin die kopieën, zoals hierboven in het artikel beschreven, dat veelal ook met hun privé-toestellen doen. Al die kopieën van paspoorten en id-kaarten komen zo overal terecht. Kortom een drama.
Door Anoniem: Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee.
Dat ben ik ook, maar dan al tig jaren.Nu ook weer, iemand die ik ken brengt een boek uit bij Das Mag. Om diegene een plezier te doen wil ik dat bestellen. Jouw data wordt standaard linea recta gedeeld met Google, Facebook en nog een handje derde partijen (uiteraard blokkeer ik dat). En vragen hieromtrent of ze privacy van de klant eigenlijk wel serieus nemen, worden simpelweg niet beantwoord (dan ga ik ervan uit dat Das Mag inderdaad privacy van een ander totaal niet belangrijk vindt, dan durf ik echt niet mijn adres achter te laten). Dan wachten we maar dat het boek offline beschikbaar is en mogelijk direct bij de schrijver zelf kan kopen.
Op deze wijze is bij vrijwel geen een onlinewinkel mogelijk om iets te kopen, dan maar niet. Als je dan belt dat je telefonisch wilt bestellen, dan heb je het gedaan.
NAW gegevens is vervelend. Echter wat ik snap niet is dat de overheid altijd maar het BSN blijft registreren en uitwisselt met dit soort systemen. Ook snap ik niet dat zon medewerker maar wat rond kan zoeken. Deze persoon zou hooguit zijn eigen input moeten kunnen zien tot moment deze submit drukt voor invoer bevestigen.
Kunnen ze niet door burgers zelf via een portaal een token kunnen laten genereren als zij zich ergens moeten registeren. Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet.
Tijd geleden hebben ze zoiets geimplementeerd bij ZZP. Hierbij was eerst je BSN ook je BTW nummer, dit is nu een BWM nummer geworden dat een soort token is, dat gekoppeld is aan je BSN. Het token gebruik je als BTW nummer voor communicatie met klanten en leveranciers.
Ze hoeven bij de overheid enkel een systeem te bouwen waarop iemand kan inloggen met bijv DIGID. Funcies:
- Nieuwe token maken voor communicatie.
- Bestaand token intrekken (met waarschuwing blabla).
Kan niet moeilijk zijn lijkt mij.
Kunnen ze niet door burgers zelf via een portaal een token kunnen laten genereren als zij zich ergens moeten registeren. Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet.
Tijd geleden hebben ze zoiets geimplementeerd bij ZZP. Hierbij was eerst je BSN ook je BTW nummer, dit is nu een BWM nummer geworden dat een soort token is, dat gekoppeld is aan je BSN. Het token gebruik je als BTW nummer voor communicatie met klanten en leveranciers.
Ze hoeven bij de overheid enkel een systeem te bouwen waarop iemand kan inloggen met bijv DIGID. Funcies:
- Nieuwe token maken voor communicatie.
- Bestaand token intrekken (met waarschuwing blabla).
Kan niet moeilijk zijn lijkt mij.
Door Anoniem:
Nu ook weer, iemand die ik ken brengt een boek uit bij Das Mag. Om diegene een plezier te doen wil ik dat bestellen. Jouw data wordt standaard linea recta gedeeld met Google, Facebook en nog een handje derde partijen (uiteraard blokkeer ik dat). En vragen hieromtrent of ze privacy van de klant eigenlijk wel serieus nemen, worden simpelweg niet beantwoord (dan ga ik ervan uit dat Das Mag inderdaad privacy van een ander totaal niet belangrijk vindt, dan durf ik echt niet mijn adres achter te laten). Dan wachten we maar dat het boek offline beschikbaar is en mogelijk direct bij de schrijver zelf kan kopen.
Op deze wijze is bij vrijwel geen een onlinewinkel mogelijk om iets te kopen, dan maar niet. Als je dan belt dat je telefonisch wilt bestellen, dan heb je het gedaan.
Door Anoniem: Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee.
Dat ben ik ook, maar dan al tig jaren.Nu ook weer, iemand die ik ken brengt een boek uit bij Das Mag. Om diegene een plezier te doen wil ik dat bestellen. Jouw data wordt standaard linea recta gedeeld met Google, Facebook en nog een handje derde partijen (uiteraard blokkeer ik dat). En vragen hieromtrent of ze privacy van de klant eigenlijk wel serieus nemen, worden simpelweg niet beantwoord (dan ga ik ervan uit dat Das Mag inderdaad privacy van een ander totaal niet belangrijk vindt, dan durf ik echt niet mijn adres achter te laten). Dan wachten we maar dat het boek offline beschikbaar is en mogelijk direct bij de schrijver zelf kan kopen.
Op deze wijze is bij vrijwel geen een onlinewinkel mogelijk om iets te kopen, dan maar niet. Als je dan belt dat je telefonisch wilt bestellen, dan heb je het gedaan.
Ik vul bij bestellingen nooit mijn echte naam, e-mail of telefoonnummer in. Voor e-mail (bestelbevestiging, etc) gebruik ik een alias, zoals mogelijk is met bijvoorbeeld https://anonaddy.com. Een echte naam is niet nodig, want de postbode levert het pakket echt wel af, ook al staat er niet je echte naam op. In het ideale geval geef ik ook niet mijn eigen adres af, maar het adres van een afhaalkluisje (DHL en PostNL hebben deze op sommige locaties en soms ook bedrijfjes als https://my-pup.com/en/ . Op deze manier kun je online shoppen en tegelijkertijd zo min mogelijk gegevens afstaan. Het enige wat niet echt anoniem kan is betalen. Ik gebruik momenteel online wegwerp credit cards die ik elke maand vernieuw. Alleen het credit card nummer, de expiration date en de security code hoeft te kloppen. Bij de naam vul ik altijd onzin in.
Het ergste is nog wel dat Andre Rouvoet (bestuurder bij de GGD) net bij RTL Nieuws weer even de verantwoordelijkheid van zich afschuift en naar de criminele wijst die deze data verhandelen. Het punt is echter, dat als de GGD deze beveiliging niet op orde heeft (en als duizenden medewerkers zodanig ruime toegang hebben dat corrupte medewerkers hun gang kunnen gaan, dan is die niet op orde) ZELF de wet overtreedt en dus crimineel is.
Verschrikkelijk voor al die mensen wiens BSN-nummer en andere persoonsgegevens nu op straat liggen. Met een beetje pech hebben ze nog jaren lang last van identiteitsfraude of worden ze gestalkt. En de overheid dient zich diep te schamen. Duizenden keer gewaarschuwd uit alle hoeken, maar ze blijft maar slecht beveiligde databases optuigen met te veel gegevens en ze blijft maar dat BSN-nummer gebruiken als een soort toegang tot alle overheidsdiensten.
Verschrikkelijk voor al die mensen wiens BSN-nummer en andere persoonsgegevens nu op straat liggen. Met een beetje pech hebben ze nog jaren lang last van identiteitsfraude of worden ze gestalkt. En de overheid dient zich diep te schamen. Duizenden keer gewaarschuwd uit alle hoeken, maar ze blijft maar slecht beveiligde databases optuigen met te veel gegevens en ze blijft maar dat BSN-nummer gebruiken als een soort toegang tot alle overheidsdiensten.
Ik ben echt zo klaar met al die domme, graaiende bestuurders in Nederland die telkens weer leugens verkondigen en de verantwoordelijkheid van zich afschuiven. Als de corona-situatie íets heeft aangetoond, dan is het wel wat voor incompetent bestuur we hebben.
25-01-2021, 19:53 door
karma4
Door Anoniem: NAW gegevens is vervelend. Echter wat ik snap niet is dat de overheid altijd maar het BSN blijft registreren en uitwisselt met dit soort systemen. ...Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet. ...
Kan niet moeilijk zijn lijkt mij.
Je mist de kern. Het BSN is betekenisloos. Het is een bedoeld atlernaief voor NAW omdat het NAW gebruiken tot te veel persoonsverwisselingen leidde met alle vervelende gevolgen voor de de echte identiteit als slachtoffers. Een BSN heeft als eigenaar (bronhouder) de uitgevende instantie bij de overheid (GBA gemeente). . Kan niet moeilijk zijn lijkt mij.
Welke (!@#$) heeft bedacht dat een BSN het bewijs van de juiste persoon is? Daar ligt het echte probleem.
Door karma4:
Welke (!@#$) heeft bedacht dat een BSN het bewijs van de juiste persoon is? Daar ligt het echte probleem.
Door Anoniem: NAW gegevens is vervelend. Echter wat ik snap niet is dat de overheid altijd maar het BSN blijft registreren en uitwisselt met dit soort systemen. ...Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet. ...
Kan niet moeilijk zijn lijkt mij.
Je mist de kern. Het BSN is betekenisloos. Het is een bedoeld atlernaief voor NAW omdat het NAW gebruiken tot te veel persoonsverwisselingen leidde met alle vervelende gevolgen voor de de echte identiteit als slachtoffers. Een BSN heeft als eigenaar (bronhouder) de uitgevende instantie bij de overheid (GBA gemeente). . Kan niet moeilijk zijn lijkt mij.
Welke (!@#$) heeft bedacht dat een BSN het bewijs van de juiste persoon is? Daar ligt het echte probleem.
Helaas is een BSN niet betekenisloos, maar de sleutel tot heel veel nare identiteitsfraude. Ik snap je punt dat de overheid het nummer oneigenlijk is gaan gebruiken, maar als dat nummer (i.c.m. met andere gegevens) op staat ligt, dan heb je best wel een probleem.
Door karma4:Welke (!@#$) heeft bedacht dat een BSN het bewijs van de juiste persoon is? Daar ligt het echte probleem.
De belastingdienst :-)
Door Anoniem: Helaas is een BSN niet betekenisloos, maar de sleutel tot heel veel nare identiteitsfraude. Ik snap je punt dat de overheid het nummer oneigenlijk is gaan gebruiken, maar als dat nummer (i.c.m. met andere gegevens) op staat ligt, dan heb je best wel een probleem.
En dan mag je nog blij zijn dat een BSN-nr vervangen zou kunnen worden., Dat moet je eens met DNA gaan proberen.
Door Anoniem:
Ik denk dat je tegenwoordig ook gewoon niet meer trots zou moeten zijn als je naam en nummer ergens publiekelijk vermeld worden zoals vroeger in het telefoonboek. Het is tegenwoordig veel makkelijker om deze data geautomatiseerd in te lezen, te verspreiden en te misbruiken dan vroeger met zo'n telefoonboek. Spammers betalen tegenwoordig grof geld voor een lijst met daadwerkelijk bestaande telefoonnummers. Tegenwoordig is het al een probleem als je naam en nummer op straat liggen.
Door karma4: Het gaat er niet om dat de naam bekend is. Ooit was je trots als je in het telefoonboek opgenomen mocht worden.
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Het gaat mis op het moment dat enkel het noemen van een naam bsn bankrekening tot een handeling leidt.
Een van de belangrijkste uitgangspunten is dat de verwerker moet controleren dat het om de juiste persoon gaat
Ik denk dat je tegenwoordig ook gewoon niet meer trots zou moeten zijn als je naam en nummer ergens publiekelijk vermeld worden zoals vroeger in het telefoonboek. Het is tegenwoordig veel makkelijker om deze data geautomatiseerd in te lezen, te verspreiden en te misbruiken dan vroeger met zo'n telefoonboek. Spammers betalen tegenwoordig grof geld voor een lijst met daadwerkelijk bestaande telefoonnummers. Tegenwoordig is het al een probleem als je naam en nummer op straat liggen.
Er was ooit een tijd dat men in het kader van het programma "Spoorloos" of "Opsporing Verzocht" dikke stapels van papieren telefoonboeken op bepaalde achternamen moest doorzoeken. Dat was een heidens karwei dat eindeloos veel geduld vergde. Toen kwam daar op een gegeven moment de eerste "Telefoongids op CD" uit. Een uitkomst.
Het duurde niet lang of het roemruchte DOS programma FOONGREP kwam bij de politie (en criminelen) in de zwang.
Daarmee ging het zoekwerk veel vlotter: ook om van een gegeven nummer de bijbehorende naam en het adres te vinden. De uitgever van De Telefoongids wist, ten gevolge van de vele boze brieven van advocaten, niet hoe snel ze het gebruik van dat FOONGREP onmogelijk moesten zien te maken. Het ging daarbij nog niet eens om geheime nummers.
26-01-2021, 09:12 door
Open source gebruiker
Door Anoniem: Zoveelste voorbeeld waarom het uitgangspunt moet zijn om zo min mogelijk gegevens op te slaan! Alles lekt een keer uit.
Ik ben onlangs ook slachtoffer geworden van een grote datalek, terwijl ik altijd zeer zorgvuldig omga met mijn persoonsgegevens. Helaas ben je verplicht om aan sommige partijen je echte gegevens af te staan en die liggen nu dus op straat.
Ik krijg voortaan 10 phishingmails per dag, 15 reclamemails, 5 reclame SMS-berichten en een paar keer per week call centers die me iets proberen aan te smeren of op te lichten uit binnenland en buitenland.
Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee. Ik gebruik alleen nog maar e-mailaliassen (voor elke dienst een) en alleen mijn echte naam als het echt moet. Waarom moet een energieleverancier eigenlijk mijn echte naam weten? Telefoonnummer? Waarom moet een webshop mijn echte naam weten? Geboortedatum? Telefoonnummer? Ik laat het wel bezorgen in een afhaalkluis met een fake naam.
Dat die testlocaties (ook de commerciële) je ID-kaart of paspoort moeten zien (en deze vervolgens inscannen en onveilig bewaren en verspreiden!!, zie Nieuwsuur van afgelopen donderdag https://nos.nl/nieuwsuur/artikel/2365425-inzage-in-gegevens-van-tienduizenden-geteste-nederlanders-van-model-tot-militair.html) is al belachelijk.
De nonchalante en het gemak waarmee organisaties nog steeds onnodig veel data van je vergaren en bewaren, omdat ze vinden "dat het moet" en ze heus wel onze "privacy serieus nemen" om er vervolgens achter te komen dat het weer misbruikt wordt, gekoppeld wordt aan andere datasets, uitlekt of verkocht wordt aan de hoogste bieder.
Trieste wereld. En je staat redelijk machteloos tegenover dat tuig.
Ik ben onlangs ook slachtoffer geworden van een grote datalek, terwijl ik altijd zeer zorgvuldig omga met mijn persoonsgegevens. Helaas ben je verplicht om aan sommige partijen je echte gegevens af te staan en die liggen nu dus op straat.
Ik krijg voortaan 10 phishingmails per dag, 15 reclamemails, 5 reclame SMS-berichten en een paar keer per week call centers die me iets proberen aan te smeren of op te lichten uit binnenland en buitenland.
Ik denk dat ik gewoon stop met het vertrekken van persoonsgegevens. Ik ben er echt klaar mee. Ik gebruik alleen nog maar e-mailaliassen (voor elke dienst een) en alleen mijn echte naam als het echt moet. Waarom moet een energieleverancier eigenlijk mijn echte naam weten? Telefoonnummer? Waarom moet een webshop mijn echte naam weten? Geboortedatum? Telefoonnummer? Ik laat het wel bezorgen in een afhaalkluis met een fake naam.
Dat die testlocaties (ook de commerciële) je ID-kaart of paspoort moeten zien (en deze vervolgens inscannen en onveilig bewaren en verspreiden!!, zie Nieuwsuur van afgelopen donderdag https://nos.nl/nieuwsuur/artikel/2365425-inzage-in-gegevens-van-tienduizenden-geteste-nederlanders-van-model-tot-militair.html) is al belachelijk.
De nonchalante en het gemak waarmee organisaties nog steeds onnodig veel data van je vergaren en bewaren, omdat ze vinden "dat het moet" en ze heus wel onze "privacy serieus nemen" om er vervolgens achter te komen dat het weer misbruikt wordt, gekoppeld wordt aan andere datasets, uitlekt of verkocht wordt aan de hoogste bieder.
Trieste wereld. En je staat redelijk machteloos tegenover dat tuig.
Huur een postbus voor je online bestellingen, naw is van belang voor controle van bankgegevens bij aangaan van contracten vermoed ik zo.
Je hebt gelijk, minder gegevens afgeven, is minder kans op misbruik.
Lekker onveilig overal uitzendkrachten gewoon bij de persoonlijke gegevens laten komen dan krijg je dit. Veilige flexwerkers?
Ongetwijfeld zal er wel (of niet) enige verbetering uit voortkomen. Maar het onmiddellijke punt is natuurlijk of de slachtoffers van de datahandel (AVG-wise ook wel bekend als betrokkenen) passende maatregelen moeten nemen of op zijn minst op de hoogte moeten zijn van het gebeurde - voordat zij geKowsoleaa-d worden.
Daar zijn twee instrumenten voor, beide uit de AVG. De eerste is de meldplicht. Als er waarschijnlijk ernstige risicos voor de betrokkenen zijn, moeten die persoonlijk op de hoogte gebracht worden. Met het BSN er bij betrokken is dat wel een dingetje, en ondanks dat sommigen dat anders zouden willen zien, is dat de realiteit van vandaag. Dus melden en zeggen wat het inhoudt en wat je als betrokkene eventueel aan het risico kan doen.
Het tweede kunnen de betrokkenen zelf doen. Ze kunnen een informatieverzoek tot de GGD richten. Dan weet je in ieder geval of en welke gegevens men op dat moment had. De rest is gokwerk, maar je kan altijd worst case doen en aannemen dat alle gegevens op straat liggen.
Overigens is voor de betrokkenen een klacht bij de Autoriteit Persoonsgegevens ook geen overbodige luxe in deze situatie. GGD heeft dit toch wel in de hand gewerkt, eerst door al die gegevens te vragen en op te slaan, en vervolgens doordat alle 26000 medewerkers toegang tot de gehele database hadden. Hoe ze het anders hadden moeten doen is hun zaak, en het is aan de AP om verder uit te zoeken wat daar eventueel voor overtredingen uit voortvloeien.
Daar zijn twee instrumenten voor, beide uit de AVG. De eerste is de meldplicht. Als er waarschijnlijk ernstige risicos voor de betrokkenen zijn, moeten die persoonlijk op de hoogte gebracht worden. Met het BSN er bij betrokken is dat wel een dingetje, en ondanks dat sommigen dat anders zouden willen zien, is dat de realiteit van vandaag. Dus melden en zeggen wat het inhoudt en wat je als betrokkene eventueel aan het risico kan doen.
Het tweede kunnen de betrokkenen zelf doen. Ze kunnen een informatieverzoek tot de GGD richten. Dan weet je in ieder geval of en welke gegevens men op dat moment had. De rest is gokwerk, maar je kan altijd worst case doen en aannemen dat alle gegevens op straat liggen.
Overigens is voor de betrokkenen een klacht bij de Autoriteit Persoonsgegevens ook geen overbodige luxe in deze situatie. GGD heeft dit toch wel in de hand gewerkt, eerst door al die gegevens te vragen en op te slaan, en vervolgens doordat alle 26000 medewerkers toegang tot de gehele database hadden. Hoe ze het anders hadden moeten doen is hun zaak, en het is aan de AP om verder uit te zoeken wat daar eventueel voor overtredingen uit voortvloeien.
vreemd dat de politie wanneer corona overheid beleid in gevaar komt of in kwaad daglicht komt te staan dat ze meteen verdachten hebben en arrestaties, maar wanneer mijn vriendin aangerand wordt, of trivialer, mijn fiets, auto gestolen worden, mijn huis overvallen of ingebroken er NUL van dezelfde politie komt.
wanneer er voetbal hooligans elk weekend voor 1 miljoen euro schade veroorzaken aan treinen, binnensteden en stadionomgevingen is er niets aan de hand, wanneer een paar relschoppers een auto omgooien en wat supermarkten slopen zijn er meteen honderd arrestaties.
ben ik de enige die een willekeur ziet?
wanneer er voetbal hooligans elk weekend voor 1 miljoen euro schade veroorzaken aan treinen, binnensteden en stadionomgevingen is er niets aan de hand, wanneer een paar relschoppers een auto omgooien en wat supermarkten slopen zijn er meteen honderd arrestaties.
ben ik de enige die een willekeur ziet?
Door Anoniem: NAW gegevens is vervelend. Echter wat ik snap niet is dat de overheid altijd maar het BSN blijft registreren en uitwisselt met dit soort systemen. Ook snap ik niet dat zon medewerker maar wat rond kan zoeken. Deze persoon zou hooguit zijn eigen input moeten kunnen zien tot moment deze submit drukt voor invoer bevestigen.
Kunnen ze niet door burgers zelf via een portaal een token kunnen laten genereren als zij zich ergens moeten registeren. Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet.
Dit kan heel makkelijk met blockchain technologie...Kunnen ze niet door burgers zelf via een portaal een token kunnen laten genereren als zij zich ergens moeten registeren. Dat token kan dan gebruikt worden door de instantie met communicatie van de overheid (die enkel het BSN weet). De partij kent dit BSN niet.
Zonder de details te kennen, vraag ik mij af hoe het proces (behalve niet) is ingericht. Een call-centum medewerker moet in principe overal bij kunnen, doch als er meer dan 100 (of ander getal) requests dag plaatsvinden klopt er mogelijk iets niet. Adequate monitoring, signalering van anomalieën, moet met kennis van zaken dit soort misstanden voorkomen. Al met al lijkt het mij een gevalletje van error-by-design. Wat doet GGD om de gevolgschade te beperken? Wat doet de Authoriteit Persoonsgevens? Op beide sites is het bedroevend stil. Hoe kom ik aan een ander BSN? Wie betaalt mijn nieuwe telefoonnummer etc. etc..
De Jonge: "Nee hoor, het systeem is echt veilig. Het zijn de mensen die er misbruik van maken. Dat zijn de criminelen"
https://nos.nl/artikel/2366082-de-jonge-duizenden-ggd-ers-kunnen-bij-privegegevens.html
Deze houding is echt zo erg. En dat te bedenken dat de overheid continue bezig is meer en meer van dit soort systemen op te tuigen. O.a. voor de toegediende vaccinaties.
Als een systeem zo slecht is opgezet dat corrupte medewerkers er massaal data uit kunnen trekken, dan is het systeem niet veilig. Punt uit.
Die achteloze houding van De Jonge is een klap in het gezicht van de mensen wiens BSN-nummer, geboortedatum, adres, telefoonnummer, e-mailadres en medische gegevens nu op straat liggen. En geloof me, deze gaan zwaar misbruikt worden. Kijk naar andere datalekken van de afgelopen tijd. Enorm veel mensen krijgen te maken met phishing of identiteitsfraude.
Die De Jonge heeft geen idee waar hij over praat. Net als Rouvoet (GGD) is hij bezig de schuld toch vooral bij de "criminelen" te leggen die misbruik maakten van het systeem. Echter, als jij een systeem optuigt en deze lekken mogelijk maakt... dan ben je zelf net zo goed een "crimineel".
https://nos.nl/artikel/2366082-de-jonge-duizenden-ggd-ers-kunnen-bij-privegegevens.html
Deze houding is echt zo erg. En dat te bedenken dat de overheid continue bezig is meer en meer van dit soort systemen op te tuigen. O.a. voor de toegediende vaccinaties.
Als een systeem zo slecht is opgezet dat corrupte medewerkers er massaal data uit kunnen trekken, dan is het systeem niet veilig. Punt uit.
Die achteloze houding van De Jonge is een klap in het gezicht van de mensen wiens BSN-nummer, geboortedatum, adres, telefoonnummer, e-mailadres en medische gegevens nu op straat liggen. En geloof me, deze gaan zwaar misbruikt worden. Kijk naar andere datalekken van de afgelopen tijd. Enorm veel mensen krijgen te maken met phishing of identiteitsfraude.
Die De Jonge heeft geen idee waar hij over praat. Net als Rouvoet (GGD) is hij bezig de schuld toch vooral bij de "criminelen" te leggen die misbruik maakten van het systeem. Echter, als jij een systeem optuigt en deze lekken mogelijk maakt... dan ben je zelf net zo goed een "crimineel".
Door Anoniem: Zonder de details te kennen, vraag ik mij af hoe het proces (behalve niet) is ingericht. Een call-centum medewerker moet in principe overal bij kunnen, doch als er meer dan 100 (of ander getal) requests dag plaatsvinden klopt er mogelijk iets niet. Adequate monitoring, signalering van anomalieën, moet met kennis van zaken dit soort misstanden voorkomen. Al met al lijkt het mij een gevalletje van error-by-design. Wat doet GGD om de gevolgschade te beperken? Wat doet de Authoriteit Persoonsgevens? Op beide sites is het bedroevend stil. Hoe kom ik aan een ander BSN? Wie betaalt mijn nieuwe telefoonnummer etc. etc..
En wie betaalt je verhuizing? Bedenk dat er mensen zijn die om veiligheidsredenen hun adres niet openbaar kunnen maken. Mensen die gestalkt of bedreigd worden. Mensen die te maken hebben gehad met huiselijk geweld. Bekende mensen. Vermogende mensen. Enzovoort. Tegelijkertijd ben je weer verplicht om je gegevens af te staan voor zo'n idioot systeem en als het mis gaat dan kun je het zelf uitzoeken.
Ik merk het zelf wanneer ik terughoudend ben met het verstrekken van info. Dit leidt altijd tot onbegrip, argwaan en vaak ook tegenwerking. Ze denken dat ik lastig doe, maar ik probeer mezelf gewoon te beschermen.
Door Anoniem: Een call-centum medewerker moet in principe overal bij kunnen. [...]
Nee, ik denk niet dat dat nodig is. En de meeste callcenters werken ook niet zo. Als een klant belt, dan kan een medewerker toegang krijgen tot het bestand van die persoon op basis van een aantal kenmerken. Wat is je naam? Wat is je postcode? Geboortedatum? Als je een aantal van deze kenmerken goed hebt ingevuld (bijvoorbeeld minimaal 3 correct), dan verschijnt het dossier pas op het scherm.
Onbeperkte toegang tot de database voor alle medewerkers en de mogelijkheid om maar te zoeken wie je wilt (waarmee je dus praktijken mogelijk maakt dat corrupte medewerkers op verzoek dossiers van bepaalde personen verstrekken tegen betaling) is dus onverantwoord. Zeker omdat het hier om medische gegevens gaat en BSN-nummers. Als ik een klantdatabase zo zou openzetten, dan zou ik al lang ontslagen zijn. Zoiets doe je niet.
Geloof De Jonge niet als hij zegt dat het systeem veilig is. Allemaal weer praatjes om de schuld van zich af te schuiven. Heeft hij van zijn baas Rutte geleerd. Het systeem is rot en wellicht te snel opgetuigd. Nu zijn er een hoop slachtoffers van deze dataroof.
Onbeperkte toegang tot de database voor alle medewerkers en de mogelijkheid om maar te zoeken wie je wilt (waarmee je dus praktijken mogelijk maakt dat corrupte medewerkers op verzoek dossiers van bepaalde personen verstrekken tegen betaling) is dus onverantwoord. Zeker omdat het hier om medische gegevens gaat en BSN-nummers. Als ik een klantdatabase zo zou openzetten, dan zou ik al lang ontslagen zijn. Zoiets doe je niet.
Vandaar Erorr-by-Design
Vandaar Erorr-by-Design
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
