Ambtenaren provincie Gelderland mogen nieuw paspoort wegens datalek
Veertienhonderd ambtenaren van de provincie Gelderland mogen wegens een datalek bij een extern ict-bedrijf waarbij hun personeelsdossiers werden buitgemaakt een nieuw paspoort aanvragen. Dat laat Omroep Gelderland weten.
Criminelen wisten bij het niet nader genoemde ict-bedrijf "een fors volume aan digitale data" te stelen, waaronder de Gelderse personeelsdossiers, zo maakte de provincie eerder bekend. Vanwege het datalek adviseert de provincie aan gedupeerde medewerkers om een nieuw paspoort aan te vragen. "Daarmee is onzekerheid weggehaald, je kunt dan aan de voorkant problemen proberen te voorkomen", aldus een woordvoerder.
Tegenover De Gelderlander stelt een woordvoerder dat het hier om een vrijwillige keuze gaat. "Als mensen zich zorgen maken over hun gegevens kunnen ze een nieuw paspoort aanvragen." Vanwege de datadiefstal heeft de provincie de samenwerking met het ict-bedrijf stopgezet. Daarnaast zijn alle eerder beschikbaar gestelde gegevens aan het bedrijf vernietigd.
Reacties (21)
Volgens mij mag iedereen wel jaarlijks een nieuw paspoort, rijbewijs of identiteitskaart en BSN nummer krijgen want de lekken zijn overal (en vooral niet te zien).
Ok, personeelsadministratie uitbesteden, dat kan natuurlijk. Maar ICT bedrijfje toch: how about je beveiliging en encryptie van de data van je klanten?
Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Raar als een kopietje paspport het bewijs van echtheid is dan zijn kopietjes van een geldbiljet ook echt geld.
Het duidt op het echten probleem dat een gedegen controle op de juiste persoon niet als voorwaarde gezien wordt.
Dat zal nog flink wat privacy problemen veroorzaakt door privacyvoorvechters geven.
Je kunt dan mensen flink geld geven om ze op te hemelen voor privacy het is het resultaat wat echt telt.
Het duidt op het echten probleem dat een gedegen controle op de juiste persoon niet als voorwaarde gezien wordt.
Dat zal nog flink wat privacy problemen veroorzaakt door privacyvoorvechters geven.
Je kunt dan mensen flink geld geven om ze op te hemelen voor privacy het is het resultaat wat echt telt.
Daarnaast zijn alle eerder beschikbaar gestelde gegevens aan het bedrijf vernietigd.
Als het kalf verdronken is, dempt men de put. En nu eens beginnen na te denken over echte oplossingen,moeten wij wel alles op een server zetten die toegankelijk is via internet. Het is algemeen bekent dat het
een kwestie van tijd is voor alle gegevens van ons allemaal op straat liggen.
En dan waarom alles regelen via internet, het is toch absurd dat je alles via internet moet regelen.
Het wordt tijd dat gedupeerde hier schadevergoeding over hoort te krijgen, en dat mogen fikse bedragen zijn,
ook al betekent het gevolg een faillissement van een bedrijf.
Ik vraag me trouwens af of hier ook gegevens van burgers bij zijn.
Als het gaat om identiteitsfraude doordat kopietjes van identiteitsdocumenten zijn uitgelekt, waarom werden deze documenten dan niet direct van een watermerk voorzien voor ze werden opgeslagen?
05-09-2021, 10:22 door
Erik van Straten
Uit wat ik schreef op 30 augustus in https://security.nl/posting/718423:
Waar blijft de richtlijn van de Autoriteit Persoonsgegevens dat dit not done is, plus stevige boetes voor partijen die niet (willen) snappen wat dataminimalisatie inhoudt?
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Waar blijft de richtlijn van de Autoriteit Persoonsgegevens dat dit not done is, plus stevige boetes voor partijen die niet (willen) snappen wat dataminimalisatie inhoudt?
Door Erik van Straten: Uit wat ik schreef op 30 augustus in https://security.nl/posting/718423:
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", …
Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht. En een kopie rijbewijs is ook niet toegestaan.
Ons bedrijf met minder dan 10 medewerkers is daarvoor ook al eens op de vingers getikt bij een controle van de loonadministratie. Wij kennen elkaar zo persoonlijk dat dit onzin leek, maar zelfs de kopieën rijbewijs werden afgekeurd omdat daar geen nationaliteit op staat.
Als je als groot bedrijf alles papierloos ingericht hebt, is het heel omslachtig er ook nog een papieren administratie op na te houden voor een papieren versie van dit kopietje paspoort. Ik kan me zelfs voorstellen dat de wet eist dat alles bij elkaar bewaard wordt vanwege een efficiënte controle mogelijkheid.
In ons geval gaven we bij de controle b.v. aan dat de personeelsleden zelfs de originele papieren bij zich hadden. Dat accepteerde de controleur ook niet.
De wet eist dat deze kopieën aanwezig zijn, dus het AP kan bedrijven daar nooit op beboeten.
We moeten gewoon stoppen met het gebruik van paspoorten voor identificatie anders dan aan de grens of anderszins fysiek. Bij banken zou je gewoon moeten kunnen indentificeren via iets als IRMA. Dan is die gekte met selfies waar je moet glimlachen ook niet meer nodig.
05-09-2021, 11:52 door
Erik van Straten
Door Briolet:
Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht.
Je lult uit je nek als je stelt dat werkgevers verplicht zouden zijn om een kopie van het identiteitsbewijs van elk van hun personeelsleden in de cloud te bewaren - "zodat elk personeelslid daar dan zelf bij kan" of om welke andere onzinnige reden dan ook.Door Erik van Straten: Uit wat ik schreef op 30 augustus in https://security.nl/posting/718423:
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", …
Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht.
Bizar dat je het essentiële deel van mijn bijdrage hierover weglaat in jouw quote:
Door Erik van Straten: Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Door Anoniem:
Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Een nog grotere overheid bedoel je? Je weet al hoe complex IT bij een overheid is? En dan alles nog samen voegen?Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Door Erik van Straten:
Bizar dat je het essentiële deel van mijn bijdrage hierover weglaat in jouw quote:
Cool..... in een kluis zonder enige controle. Misschien niet de beste methode?Door Briolet:
Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht.
Je lult uit je nek als je stelt dat werkgevers verplicht zouden zijn om een kopie van het identiteitsbewijs van elk van hun personeelsleden in de cloud te bewaren - "zodat elk personeelslid daar dan zelf bij kan" of om welke andere onzinnige reden dan ook.Door Erik van Straten: Uit wat ik schreef op 30 augustus in https://security.nl/posting/718423:
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", …
Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht.
Bizar dat je het essentiële deel van mijn bijdrage hierover weglaat in jouw quote:
Door Erik van Straten: Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Kluizen worden gestolen. Controle is complex en lastig. Ik zou denken niet AVG compliant.
05-09-2021, 12:47 door
Erik van Straten
Overigens vind ik het opmerkelijk en onverstandig als de arbeidsinspectie, de belastingdienst en de politie het accepteren dat digitale kopiën van identiteitsbewijzen van personeel uitsluitend in (klaarblijkelijk niet altijd voldoende beveiligde) cloudopslag worden bewaard. Dat zou fraude daarmee wel eens eenvoudiger kunnen maken dan wanneer die kopiën door de werkgever in een kluis worden bewaard; naast dat confidentialiteit in het belang is van de werknemers, zijn integriteit en beschikbaarheid immers in het belang van opsporingsdiensten.
Denkbaar is namelijk dat een werkgever m.b.v. "sjoemelsoftware" andere kopiën kan tonen afhankelijk van wie daarom vraagt, of dat t.g.v. configuratiefouten medewerkers hun "kopietje-paspoort" door een gemanipuleerd exemplaar kunnen vervangen.
Denkbaar is namelijk dat een werkgever m.b.v. "sjoemelsoftware" andere kopiën kan tonen afhankelijk van wie daarom vraagt, of dat t.g.v. configuratiefouten medewerkers hun "kopietje-paspoort" door een gemanipuleerd exemplaar kunnen vervangen.
05-09-2021, 20:01 door
karma4
Door Anoniem: Als het gaat om identiteitsfraude doordat kopietjes van identiteitsdocumenten zijn uitgelekt, waarom werden deze documenten dan niet direct van een watermerk voorzien voor ze werden opgeslagen?
Een paspoort heeft echtheidskenmerken een kopietje niet.Probeer het eens met kopietje van een bankbiljet.
Door Anoniem: We moeten gewoon stoppen met het gebruik van paspoorten voor identificatie anders dan aan de grens of anderszins fysiek. Bij banken zou je gewoon moeten kunnen indentificeren via iets als IRMA. Dan is die gekte met selfies waar je moet glimlachen ook niet meer nodig.
Een smartphone is geen bewijs van de juiste persoon. Daat gaat irma volledig de mist in.Een hoogleraar aan veel geld helpen omdat hij anders lastig is lijkt me geen beste combinatie. Een klokkelnuider zou er mee in een nare situatie kunnen komen.
Door Erik van Straten: Je lult uit je nek als je stelt dat werkgevers verplicht zouden zijn om een kopie van het identiteitsbewijs van elk van hun personeelsleden in de cloud te bewaren - ....
Jammer maar de wettelijke verplichting dat een werkgever een kopie paspoort moeten van al hun werknemers is wel degelijk waar.https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf Daar zijn meerdere goede redenen voor.
Een ervan is controle op uitbuiting van werknemers en illegsliteit.
Ik had een éénmanszaak. Met een webshop. De overheid verplicht mij een BTW-nummer te hebben. En dit makkelijk vindbaar op de website te vermelden. Net als het bedrijfsadres. En bij gebrek aan een fysieke winkel MOET dat dan je privéadres zijn. En nu komt het: het BTW-nummer in geval van een eenmanszaak is het sifinummer of BSN-nummer van de eigenaar.
Maar ik krijg van de fiscus een nieuw BTW- nummer dat nu niet herleidbaar is. Maar ik kreeg geen nieuw BSN-nummer, wat doe regels van de overheid op internet vermeld MOEST worden.
Had lekker mijn BTW-nummer zo gelaten en mij een nieuw BSN-nummer gegeven. Makkelijker, want ik hoef dan mijn leveranciers niets uit te leggen. Veiliger, want ik heb dan meteen een nieuw BSN-nummer wat niet bekend is op internet.
Maar ik krijg van de fiscus een nieuw BTW- nummer dat nu niet herleidbaar is. Maar ik kreeg geen nieuw BSN-nummer, wat doe regels van de overheid op internet vermeld MOEST worden.
Had lekker mijn BTW-nummer zo gelaten en mij een nieuw BSN-nummer gegeven. Makkelijker, want ik hoef dan mijn leveranciers niets uit te leggen. Veiliger, want ik heb dan meteen een nieuw BSN-nummer wat niet bekend is op internet.
Vergoeden ze die paspoorten dan ook (ook aan de slachtoffers van GGD lek?) inclusief een nieuw BSN nummer?
Je mag altijd een nieuw paspoort aanvragen. Ook zonder het initiatief van provincie Gelderland.
Door karma4:
Jij drukt (net als Briolet) op "Reageer met quote", verwijdert (net als Briolet) het stuk tekst waarin ik schrijf dat werkgevers kopiën van identiteitsbewijzen IN EEN KLUIS i.p.v. in de cloud zouden moeten bewaren, en stelt vervolgens (net als Briolet) dat ik niet snap dat werkgevers kopiën van identiteitsbewijzen moeten bewaren?!?Door Erik van Straten: Je lult uit je nek als je stelt dat werkgevers verplicht zouden zijn om een kopie van het identiteitsbewijs van elk van hun personeelsleden in de cloud te bewaren - ....
Jammer maar de wettelijke verplichting dat een werkgever een kopie paspoort moeten van al hun werknemers is wel degelijk waar.Wat is dit voor een kinderachtig gedoe?
Ik zie het nut van een nieuw paspoort niet in.
De data die gestolen is ach deze blijft bestaan in een ander officieel document.
Als het BSN niet gewijzigd wordt (geloof dat dit niet mogelijk is van wegen een koppeling met pensioenen)
Dan is het ook nog het feit dat er bedrijven (ook in Nederland) deze gestolen data verzamel in hun database voor bepaalde doeleinden en hier een verdienmodel op gebouwd hebben.
De data die gestolen is ach deze blijft bestaan in een ander officieel document.
Als het BSN niet gewijzigd wordt (geloof dat dit niet mogelijk is van wegen een koppeling met pensioenen)
Dan is het ook nog het feit dat er bedrijven (ook in Nederland) deze gestolen data verzamel in hun database voor bepaalde doeleinden en hier een verdienmodel op gebouwd hebben.
Kluizen worden gestolen.
Dat is in de beveiligingswereld geen wet van Meden en Perzen. En ik kan er over meepraten, aangezien ik 14 jaar in die beveiligingswereld heb gezeten.Als iemand een kleine gecertificeerde kluis laat aanleggen en op de juiste wijze laat verankeren door een specialist van het kluizenbedrijf bijvoorbeeld, dan wordt het een heel ander verhaal. Maar omdat fysieke beveiliging niet voldoende is, moet er ook (zeker voor bedrijven) een goed alarmsysteem zijn die ook wordt onderhouden en gecomplementeerd wordt met de juiste alarmopvolging. Dan is het nog maar de vraag of deze kluis met succes wordt gestolen.
Wat vaak wél gebeurt is dat er goedkope speelgoed-kluisjes (dus zonder enige certificering) worden gekocht in de bouwmarkt die je in mum van tijd open krijgt. Het zijn juist deze kluisjes die gestolen worden, omdat deze kluisjes niet op de juiste wijze zijn verankerd, maar door amateurs in een achter-namiddag zijn 'vastgemaakt'. Het zijn ook deze kluisjes die niet te verzekeren zijn. Wordt het ding gestolen, dan is in zo'n geval alle schade gegarandeerd voor de benadeelde partij. Goedkoop is in de beveiligingswereld zeker ook duurkoop.
Door Erik van Straten: .. en stelt vervolgens (net als Briolet) dat ik niet snap dat werkgevers kopiën van identiteitsbewijzen moeten bewaren?!? .. Wat is dit voor een kinderachtig gedoe?
Dan komt dit in je post kennelijk zo tot uiting.Wat behoorlijk kinderachtig is, dat is de hele aandacht om kopieen van een paspoort.
Leg maar eens uit wat voor waarde een kopietje van iets zou horen te hebben.
Als het zo eenvoudig is om het voor een origineel aan te zien dat gaan de controle op echtheid behoorlijk fout.
Schieten we door dat anonimiteit een recht is om geen verantwoordelijkheid te hebben dan snap je de achtergrond waarom je je met beveiliging en vastlegging / archivering moet bezighouden niet.
Door Anoniem:
Nee dat bedoel ik niet, integendeel; door provincies (meer) te laten samenwerken, ipb iedere provincie haar eigen IT (administratie) te laten verzorgen; juist dat zorgt voor de complexiteit. Mijn idee zorgt voor een eenduidige en kleinere AO/IC bij de provincie laag.
Door Anoniem:
Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Een nog grotere overheid bedoel je? Je weet al hoe complex IT bij een overheid is? En dan alles nog samen voegen?Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.
Nee dat bedoel ik niet, integendeel; door provincies (meer) te laten samenwerken, ipb iedere provincie haar eigen IT (administratie) te laten verzorgen; juist dat zorgt voor de complexiteit. Mijn idee zorgt voor een eenduidige en kleinere AO/IC bij de provincie laag.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
