Leeuwarden lekt privédata 8800 ondernemers door fout met e-mailbijlage
De gemeente Leeuwarden heeft door een fout met een e-mailbijlage de privégegevens van 8800 ondernemers gelekt, waaronder hun burgerservicenummer (BSN). Het gaat om ondernemers uit de regio die de TOZO-regeling hadden aangevraagd. Van deze groep vroegen drie ondernemers om een toelichting op hun afrekening.
Bij het versturen van de berekening maakte de gemeente de fout. In plaats van een pdf-bestand ontvingen de drie ondernemers elk een Excel-document. In deze drie toegestuurde Excel-documenten stonden per ongeluk ook verborgen gegevens. Dit zijn gegevens uit het openbare handelsregister van de complete groep ondernemers, aangevuld met hun burgerservicenummer. "Deze gegevens hadden niet door ons verzonden mogen worden", zo laat de gemeente aan de getroffen groep ondernemers weten.
"Met de combinatie naam plus burgerservicenummer kan door een crimineel identiteitsfraude worden gepleegd. In dit geval is er geen enkele aanwijzing dat dit is gebeurd. Waarschijnlijk hebben de ontvangers van het document de verborgen gegevens niet gezien. Wij hebben de drie betrokken ondernemers gevraagd het bestand te verwijderen en zij hebben dit beloofd", zo stelt de gemeente verder (pdf).
De gemeente Leeuwarden zegt maatregelen te hebben genomen om dergelijke fouten in de toekomst te voorkomen. De VVD Leeuwarden heeft het college om opheldering gevraagd. "Waarom zijn gevoelige persoonsgegevens als een BSN opgenomen in een Excel-bestand om een berekening te maken? Wat is de noodzaak hiervoor en zijn de privacy risico’s van het gebruiken van Excel hiervoor onderzocht?", wil VVD-gemeenteraadslid Van der Sloot weten.
Zij vraagt verder wat voor soort maatregelen de gemeente heeft getroffen, hoe de werking van de maatregelen wordt gecontroleerd en of het datalek binnen de geldende termijn bij de Autoriteit Persoonsgegevens is gemeld (pdf).
Haha heerlijk, typisch ambtenaar manier van denken, het komt natuurlijk door Excel.
Misschien is de verantwoordelijke wel een totale onnozele en zou een baantje als schoonmaker misschien beter zijn.
Maar nee misschien is het Excel.
Ik neem aan dat die verborgen gegevens er niet 'per ongeluk' in stonden, maar dat ze heel bewust verborgen gemaakt zijn zodat de ontvanger ze niet ziet.
Dat is ook legitiem als je van plan bent dit bestand als een pdf te exporteren omdat dan de verborgen velden echt verdwijnen.
Maar helemaal snap ik het datalek niet. De TOZO regeling is voor zelfstandige ondernemers, zoals ZZP-ers. Bij deze mensen werd het BSN nummer al vanwege de overheid gelekt omdat hun BTW nummer gelijk was aan het BSN nummer.
Dit is recentelijk wel gerepareerd, maar de TOZO regeling zal gaan over een periode dat er nog wel die koppeling was en het BTW/BSN nummer toch al openbaar was.
Haha heerlijk, typisch ambtenaar manier van denken, het komt natuurlijk door Excel.
Misschien is de verantwoordelijke wel een totale onnozele en zou een baantje als schoonmaker misschien beter zijn.
Maar nee misschien is het Excel.
Het gaat hier niet zo zeer om of Excel de boosdoener is, maar of Excel de juiste tool is om deze data mee te verwerken, en of deze data uberhaupt verwerkt moet worden.
Ondertussen hard doordrammen om meer digitaal te doen. Want dat heeft echt alleen maar voordelen. Alleen maar!
Hoe is het in vredesnaam mogelijk dat iemand die zo incapabel is dat dit soort simpele dingen fout gaan überhaupt toegang tot dergelijk gevoelige gegevens heeft? Laat staan de mogelijkheid om zoiets te mailen...
Maar helemaal snap ik het datalek niet. De TOZO regeling is voor zelfstandige ondernemers, zoals ZZP-ers. Bij deze mensen werd het BSN nummer al vanwege de overheid gelekt omdat hun BTW nummer gelijk was aan het BSN nummer.
Ondertussen hard doordrammen om meer digitaal te doen. Want dat heeft echt alleen maar voordelen. Alleen maar!
Hoe is het in vredesnaam mogelijk dat iemand die zo incapabel is dat dit soort simpele dingen fout gaan überhaupt toegang tot dergelijk gevoelige gegevens heeft? Laat staan de mogelijkheid om zoiets te mailen...
Omdat er voor elke regeling die politici in Den Haag bedenken, en door gemeenten uitgevoerd moet worden, weer een nieuw "systeem" bedacht moet worden om het in te registreren. Want elke regeling vereist weer een andere registratie en bewijslast. En TOZO was zo'n spoedklus die er maar even bij gedaan moest worden. Omdat het rijk / de politiek haar zaakjes niet op orde had. En dan kom je al snel uit op bv Excel. In ieder gval voor de rapportages. Multifunctioneel en makkelijk inzetbaar.
Alleen zijn de meeste doorsnee Nederlanders (incl ambtenaren) in meerdere mate digibeet. Politici zijn ook niet vele beter.
Het is niet hun core business zullen we maar zeggen.
Registreer je het niet als gemeente, dan kun je naar de vergoeding van het voorgeschoten geld fluiten als gemeente. Dan betaalt het rijk doodleuk niet.
Terwijl ze je vaak sowieso al niet meer dan xx cent per euro vergoeden.
Wie betaalt de rest: de gemeente, lees de inwoners van het dorp of de stad.
De enige juiste oplossing is op kosten van de gemeente alle 8800 een nieuw persoonsnummer.
Deze bestanden mogen nooit naar anderen verzonden worden, het is verplicht om dit in een goedgekeurde OpenStandaard te doen.
Noem mij paranoïde, maar precies zo gaan bij mij ook afbeeldingen of documenten de deur uit :-)
Wanneer er een mail wordt verzonden met meer dan een X aantal verhoogd risico items dan zal een manager er naar moeten kijken (4 ogen principe) alvorens de mail buiten het domein van de gemeente komt. Zoiets hebben ze kennelijk niet.
Toch altijd weer bijzonder dat van de normale burger/ondernemer van alles wordt verwacht maar dat overheden hier zelf erg laks mee zijn.
Maar ja... het is Nederland he...
Maar ja... het is Nederland he...
Zeg (roep) het de politici maar toe.
Die drammen maar door.
Want digitaal zou kosten besparen (denken ze nog steeds in Den Haag)
Wanneer er een mail wordt verzonden met meer dan een X aantal verhoogd risico items dan zal een manager er naar moeten kijken (4 ogen principe) alvorens de mail buiten het domein van de gemeente komt. Zoiets hebben ze kennelijk niet.
Toch altijd weer bijzonder dat van de normale burger/ondernemer van alles wordt verwacht maar dat overheden hier zelf erg laks mee zijn.
En hoeveel individuele burgers (niet-ICTers) of MKBers kunnen dit zelf en hebben dit zo ingesteld staan?
En dan verwacht je echt dat de oevrheid het beter doet. :-)
Je lijkt wel een politicus. Alles met techiek willen oplossen.
Het zal nog wel enige tijd duren voordat de wal het schip gaat keren, blijkt maar weer eens.
Of doordat opeens alle inwoners van dit land ict- en security experts worden, of omdat de politiek eindleijk de handdoek in de ring gooit en een deel van haar digitaliserings drang/dwang los laat.
Ik gok erop dat de laatste optie makkelijker en beter te realiseren is. (ivm vergrijzing en domdat ons onderwijs ook steeds slechter wordt)
De waanzin ten top een naam en BSN zou tot fraude kunnen leiden. Het is de Big Brother invloed die zo mensen inpalmt naar een dystopie. Een BSN met naam is geen bewijs van de juiste persoon. Een verwerkingsverantwoordelijke van persoonsgegevens hoort wettelijk een gedegen verifieerbare control te doen of een en ander klopt.
Met dit soort uitspraken is door een gemeente is de privacy gewoon is gevaar by design.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
