Keijzer: autorisatiebeheer Kamer van Koophandel was niet op orde
Het gevoelige datalek bij de Kamer van Koophandel (KvK) waardoor de beschermde privéadressen van achttienhonderd personen op straat kwamen te liggen kon mede ontstaan doordat het autorisatiebeheer bij de KvK niet op orde was, zo laat demissionair staatssecretaris Keijzer van Economische Zaken op Kamervragen weten.
Een oud-advocaat had de gegevens bij de KVK gedownload. Een beperkt aantal bevoegde instanties en beroepsgroepen, waaronder de advocatuur, kunnen dergelijke adressen door middel van een bepaalde autorisatie inzien. De oud-advocaat had van januari tot juni dit jaar bijna zeshonderd keer gegevens via het KvK-systeem opgevraagd. Het ging om bijna achttienhonderd privéadressen.
Het datalek kwam aan het licht nadat de Kamer van Koophandel een melding van de onbevoegde bevraging kreeg, reageert Keijzer op Kamervragen van BIJ1 en D66. De advocaat in kwestie had zichzelf uit het advocatenregister laten schrappen en was daarom volgens de KvK niet meer bevoegd om handelsregisterproducten met daarin deze adressen op te vragen. Er bestaat geen automatische koppeling tussen het advocatenregister en het Handelsregister.
"Wanneer een advocaat stopt met zijn beroep is het zijn verantwoordelijkheid om hiervan melding te doen bij de KvK en de autorisatie in te laten trekken. In de voorliggende casus heeft de voormalige advocaat dit niet gedaan. De KvK ziet echter ook in dat het autorisatiebeheer bij de KvK niet op orde is en neemt daarom maatregelen om deze situatie in de toekomst te voorkomen door controle van autorisaties aan te scherpen", laat Keijzer op Kamervragen van de SP weten.
Datavisie
Onlangs adviseerde de Autoriteit Persoonsgegevens in een brief aan demissionair staatssecretaris Keijzer dat de KvK de woonadressen van zzp'ers moet afschermen. De staatssecretaris is dit van plan door te voeren. De vestigingsadressen blijven echter zichtbaar en die zijn vaak bij zzp'ers hetzelfde als het woonadres. De AP vroeg hier dan ook aandacht voor.
"De oplossingsrichtingen, die de AP aandraagt met betrekking tot de adressen van zzp'ers werpen de nodige vragen op over de uitvoerbaarheid en handhaving. Het incident, dat de aanleiding vormt voor deze Kamervragen, benadrukt dat een wettelijke kader helder moet zijn over welke adresgegevens wel en welke niet afgeschermd moeten worden, wie daarom mag verzoeken en om welke reden", aldus Keijzer.
Ze werkt samen met de KvK aan een datavisie over het Handelsregister. Deze visie zal een nieuw beleidskader vormen voor de verwerking en verstrekking van gegevens uit het Handelsregister.
consequenties. Je zou natuurlijk denken "laat de KVK regelmatig checken in het advocatenregister of de bij hen bekende
advocaten daar nog wel in staan", maar dat soort dingen lukt vaak niet meer omdat instanties hun registers hebben
dichtgezet en er speciale toegang gevraagd en verkregen moet worden.
Ik merk dat zelf ook bij andere registers. Waar je vroeger even snel een lijst kon downloaden is die lijst weggehaald,
daarna kon je nog individuele bevragingen doen maar daar is dan weer rate-limiting op gezet waardoor het nu helemaal
onmogelijk wordt om routinematige checks te doen. Met als gevolg het risico van ongeoorloofde toegang.
Bij mij is 'op straat liggen' wel iets anders. Of zijn er aanwijzingen dat deze ex-advocaat de data publiekelijk gemaakt heeft?
En gaat deze ex-advocaat vervolgd worden voor computervredebreuk? Want dit lijkt me zeer vergelijkbaar met het geval zoals Arnoud hier beschrijft:
https://www.security.nl/posting/719560/Waarom+is+het+gebruik+van+een+wifi-wachtwoord+voor+een+ander+doel+computervredebreuk%3F
De reden dat een advocaat onder condities toegang heeft is bij het invullen van de handhaving.
Wat het gevolg zal zijn als handhaving overgaat in het recht van de sterkste is een grandioze massale privacyschending.
Allen valt die lastig te bestrijden wat misdaad moet lonen en de overheid moet je als het kwaad zien.
Big brother 1984 met alle newspeak wordt gebezigd in de privacywereld.
Mijn eerste contact met de KvK is al dik 20 jaar geleden. Mijn indruk nu is het zelfde eigenlijk. Ze willen enkel "keurige" mensen inschrijven. Er stond toen op het formulier een "voorbeeld". Over ene mevrouw van Dam opent een schoenenwinkel.
Ze leefden toen nog in de jaren '50. En blijkbaar nu nog steeds.
consequenties. Je zou natuurlijk denken "laat de KVK regelmatig checken in het advocatenregister of de bij hen bekende
advocaten daar nog wel in staan", maar dat soort dingen lukt vaak niet meer omdat instanties hun registers hebben
dichtgezet en er speciale toegang gevraagd en verkregen moet worden.
Ik merk dat zelf ook bij andere registers. Waar je vroeger even snel een lijst kon downloaden is die lijst weggehaald,
daarna kon je nog individuele bevragingen doen maar daar is dan weer rate-limiting op gezet waardoor het nu helemaal
onmogelijk wordt om routinematige checks te doen. Met als gevolg het risico van ongeoorloofde toegang.
En toch zou je dit fatsoenlijk moeten hebben ingericht. Als zo'n autorisatie afhankelijk is van een inschrijving in een register waar je zelf niet bij kunt, dan moet je er mijns inziens voor kiezen om elke autorisatie tijdelijk te maken. Is bij afloop van de tijdelijke periode geen bewijs geleverd dat betreffende persoon nog in het register staat, dan eindigt de autorisatie.
Tijdens een congres daarover heeft de KvK aangegeven, dat het uitvoeren van de oproep van de AP wel erg moeilijk was (dit houdt dus in feite in: er is niets veranderd en gegeven de reactie van mevrouw Keijzer gaat dat ook niet gebeuren).
En toch zou je dit fatsoenlijk moeten hebben ingericht. Als zo'n autorisatie afhankelijk is van een inschrijving in een register waar je zelf niet bij kunt, dan moet je er mijns inziens voor kiezen om elke autorisatie tijdelijk te maken. Is bij afloop van de tijdelijke periode geen bewijs geleverd dat betreffende persoon nog in het register staat, dan eindigt de autorisatie.
Een mailtje sturen met "ja hoor ik sta er nog in"? Ok dat is in zoverre beter dat het sturen van een dergelijk mailtje dat
niet de waarheid is kan worden vervolgd als valsheid in geschrifte, maar het zou toch beter zijn als je het zelf kunt
checken. En dat kan niet meer "want privacy". Dat realiseren veel privacy-voorvechters zich niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
