Kamer van Koophandel lekt beschermde privéadressen Kamerleden
Door een datalek bij de Kamer van Koophandel (KvK) zijn de beschermde privéadressen van achttienhonderd mensen gelekt, waaronder ook Kamerleden. De KvK heeft het datalek bij de Autoriteit Persoonsgegevens gemeld. Vorige week meldde de Kamer van Koophandel op de eigen website dat een voormalig advocaat, bij het opvragen van informatie uit het Handelsregister, ten onrechte gebruik heeft gemaakt van een autorisatie waarmee niet-openbare privéadressen meegeleverd worden.
Een beperkt aantal bevoegde instanties en beroepsgroepen, waaronder de advocatuur, kunnen dergelijke adressen door middel van deze autorisatie inzien. De advocaat in kwestie heeft zichzelf uit het advocatenregister laten schrappen en was daarom volgens de KvK niet meer bevoegd om handelsregisterproducten met daarin deze adressen op te vragen. RTL Nieuws meldt dat het in totaal om de gegevens van achttienhonderd personen gaat, waaronder die van Kamerleden van D66, GroenLinks en BIJ1. De oud-advocaat vroeg gegevens op van organisaties die voornamelijk politiek of politiek activistisch zijn.
De Kamer van Koophandel benaderde de oud-advocaat, die schriftelijk verklaarde dat hij de niet-openbare gegevens heeft vernietigd. Tevens zijn alle betrokkenen via brief geïnformeerd over het datalek. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens. Daarnaast is er een onderzoek ingesteld waaruit blijkt dat er meer voormalig advocaten zijn die nog geautoriseerd waren om niet-openbare gegevens in te zien.
De KvK heeft in totaal 164 autorisaties ingetrokken, waarvan er 92 nog zijn gebruikt om gegevens op te vragen. Er wordt nog onderzocht of er een risico voor betrokkenen is. Vanwege het datalek neemt de KvK aanvullende maatregelen. Zo worden de autorisaties van de andere bevoegde beroepsgroepen, zoals notarissen en deurwaarders, geverifieerd en zullen de autorisaties van alle bevoegde beroepsgroepen voortaan periodiek worden gecontroleerd.
Dus blij dat de kamerleden er nu een keer de dupe van zijn.
The Matrix
Ja, alleen kostte het toen veel meer moeite.
The Matrix
En dat is maar 1 voorbeeld van de velen die je kunt noemen.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
The Matrix
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
Eens en daarvoor dien je eerst een exit protocol op te stellen en autorisaties welke dagelijks gecontroleerd dienen te worden. Zodat je altijd een daags overzicht hebt.
Ik deed dit voor een van de grootste ICT bedrijven in NL en ik werd binnen het kwartier gewaarschuwd als er iets veranderde in autorisaties. En ik deed dit ook ism HRM en driect leidinggevende. Ontslag andere job binnen het bedrijf? Wham dicht volautomatisch. Heb je toegang nodig dan altijd volgens een profiel ism met HRM en direct leiding gevende. Streng? Ja natuurlijk kwestie van wennen en verantwoording nemen en daarvoor diene de procedures geen papieren tijgers te zijn met een daad kracht van niets. Er moeten garanties gegeven worden op eindresultaat niet dat de doorlooptijd uiteindelijk het hele systeem gaat dwarsliggen en er van hogerhand wordt besloten dat de situatie onwerkbaar is.
.
Altijd 2 partijen direct leidinggevende die daartoe verplicht wordt gesteld en hrm. (in dit geval is het een iets andere situatie)
Maar zodra iemand een ww aan iemand anders geeft b.v. in mijn geval een systeembeheerder wordt het wel lastig want dan moet je ook het ipnummer en profiel werkplek controleren en dat is haast niet te doen wanneer de ICT infrastructuur niet strak georganiseerd is qua werkplekken en rechten structuur en de hele organisatie erachter. (kan wel natuurlijk met behulp van 2fa) Maar als ook die code of pasje wordt weggegeven sta je machteloos. Je kan nog wel checken op login uren en ip nr en werkplek profiel eventueel. En een beetje correlatie.
Valt onder het kopje ongeautoriseerd raadplegen van gegevens en volgens mij valt dit onder computervrede breuk? Maar ik ben geen jurist.
... knip ...
Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Bijzonder dat dit steeds als 'groot lek' worden genoemd, terwijl het gewoon ongeauthoriseerd toegang is. Natuurlijk is er wat aan de hand en zijn gegeven terecht gekomen waar dat niet moet. Maar niet dat er een systeem lek is (ok, wel het systeem van controle op eenmaal uitgegeven authorisaties, maar dat opzich is geen datalek).
Is het niet vreemd dat advocaten (dat zijn ook maar mensen) zomaar, zonder verdere controle, bij al deze gegeven mogen komen. Moet er niet iemand nog toestemming voor geven die kan verifieren of de aanvraag wel terecht is (niet persee een rechter, maar wel iemand die ter verantwoording groepen kan worden), zodat er in elk geval vooraf een onafhankelijke derden weet dat gegevens opgevraagd gaan worden en door wie (en ook 'nee' kan zeggen als het twijfelachtig lijkt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
