image

Autoriteit Persoonsgegevens sluit niet uit dat omvang datalek nog groter wordt

vrijdag 31 maart 2023, 13:57 door Redactie, 48 reacties

De Autoriteit Persoonsgegevens (AP) sluit niet uit dat de omvang van het datalek rond verschillende marktonderzoeksbureaus die de software van leverancier Nebu gebruiken nog groter wordt. De privacytoezichthouder vraagt bedrijven die bij het datalek betrokken zijn om opheldering. Dat laat de AP vandaag via de eigen website weten. Mogelijk zijn van miljoenen Nederlanders de gegevens gelekt.

Tal van grote organisaties maken gebruik van de marktonderzoeksbureaus voor het uitvoeren van klanttevredenheidsonderzoeken. Die gebruiken voor deze onderzoeken de software van Nebu. Bij het softwarebedrijf heeft zich een datalek voorgedaan, waardoor ook de gegevens van de marktonderzoekers op straat is beland. Het kan daarbij ook gaan om gegevens van hun klanten.

Zo zijn bij NS de gegevens van mogelijk 780.000 klanten gelekt en bij VodafoneZiggo zo'n 700.000. De lijst met bedrijven en organisaties die inmiddels laten weten getroffen te zijn wordt steeds groter. Inmiddels zou de teller van mogelijk getroffen klanten de twee miljoen zijn gepasseerd. "De AP sluit niet uit dat het datalek nog groter wordt", zo stelt de toezichthouder.

Volgens de AP moeten bedrijven en organisaties zorgvuldig omgaan met persoonsgegevens. De toezichthouder vraagt daarom partijen die zijn betrokken bij het datalek om opheldering. Zo wil de de Autoriteit Persoonsgegevens weten wat er in de contracten tussen de verschillende partijen is vastgelegd over het beschermen van persoonsgegevens. Ook houdt de AP er toezicht op dat de betrokken partijen mensen informeren over het datalek, aangezien dat verplicht is.

Reacties (48)
31-03-2023, 14:13 door Anoniem
Waren dit anonieme enquetes?
31-03-2023, 14:37 door ShaWormHa
Nog slechter is dat NeBu onbereikbaar is, en dat iedere poging om een te zien hoe groot het datalek nu precies is de telefoon op de haak gaat.

Waar rook is is vuur, maar ik ben bang dat het hier om een hele grote brand gaat.
31-03-2023, 14:53 door Anoniem
Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?
31-03-2023, 14:56 door Anoniem
Ze zullen wel een boete krijgen. Van 500 euro ofzo. Dat zal ze leren!
31-03-2023, 14:59 door Anoniem
Zouden de hackers via de Nederlandse Nebu (Beun) ook gegevens van buitenlandse vestigingen van de firma gejat hebben? Dus via hier gewoon alle data van het hele bedrijf met alle vestigingen wereldwijd op een mega usb stick gezet hebben?
31-03-2023, 15:14 door Anoniem
Volgens de AP moeten bedrijven en organisaties zorgvuldig omgaan met persoonsgegevens. De toezichthouder vraagt daarom partijen die zijn betrokken bij het datalek om opheldering. Zo wil de de Autoriteit Persoonsgegevens weten wat er in de contracten tussen de verschillende partijen is vastgelegd over het beschermen van persoonsgegevens.
Ja daar zal vast in staan dat het verwerken zo zorgvuldig mogelijk moet gebeuren en dat de data niet mag worden
doorverkocht ofzo. Maar er al vast ook NIET in staan dat als een partij in de keten de oorzaak is van het op straat komen
van de data, deze partij verantwoordelijk is voor het vergoeden van eventuele schade, of een vaste vergoeding per geval
voor eventuele schade.
Dus uiteindelijk zal deze affaire als een nachtkaars uitgaan. "sorry, had niet mogen gebeuren, we gaan het allemaal
beter doen". Maar wel zou het kunnen dat de bereidheid om mee te doen aan marktonderzoeken (of om een bedrijf
toestemming te geven de persoonsgegevens te gebruiken voor marktonderzoek) even flink naar beneden gaat.
En ook zal het me niet verbazen als Blauw en Nebu over een paar maanden ineens een frisse nieuwe naam hebben!
31-03-2023, 15:22 door majortom - Bijgewerkt: 31-03-2023, 15:24
Er wordt gesteld dat bij VodafoneZiggo van 700.000 klanten data is gelekt en bij NS nog meer. Ik kan me niet voorstellen dat er zoveel mensen een of andere enquete hebben ingevuld (ik negeer dit soort verzoeken altijd), of verstrekken deze organisaties gewoon een hele rits klantgegevens aan de marktonderzoeker die dan benaderd worden vanuit deze partijen? Dan werk je dit soort misstanden wel in de hand lijkt me. Als ik bijvoorbeeld het privacystatement van Ziggo kijk (https://ziggo-main.aem.aws.ziggo.io/content/dam/ziggo/voorwaarden/privacy/Privacy-Statement-VFZ-NED-20220801.pdf)dan lees ik het volgende mbt gebruik van de data:
Om jouw persoonsgegevens te mogen gebruiken, heeft VodafoneZiggo altijd een reden (een
zogenaamde wettelijke grondslag) nodig. VodafoneZiggo gebruikt jouw gegevens uitsluitend voor de
volgende redenen:
Uitvoering overeenkomst: sommige gegevens hebben wij nodig om de afgesproken producten en
diensten aan jou te kunnen leveren. Zo hebben wij jouw accountgegevens nodig om een overeenkomst
met je te sluiten of facturen aan je te kunnen sturen.
Wettelijke verplichting: soms moeten wij op grond van een wettelijke verplichting bepaalde gegevens
bewaren. Zo dienen wij op grond van belastingwetgeving jouw facturen voor een bepaalde tijd te
bewaren en zijn wij verplicht om voor sommige toestelkredieten bepaalde financiële gegevens van jou te
bewaren.
Gerechtvaardigd belang: in bepaalde situaties heeft VodafoneZiggo een gerechtvaardigd
bedrijfsbelang om jouw gegevens te verwerken. Zo gebruiken wij jouw gegevens bijvoorbeeld om onze
diensten te beveiligen en te verbeteren en om fraude of misbruik te voorkomen.
Toestemming: wanneer geen van genoemde redenen van toepassing is, zullen wij jou voor bepaald
gebruik van jouw gegevens om voorafgaande toestemming vragen. Hierbij kan je denken aan het
gebruik van jouw kijkgedrag- en voorkeuren, zodat wij jou gepersonaliseerde aanbevelingen kunnen
doen. Deze toestemming kan je natuurlijk op ieder moment weer intrekken (zie onder 14 (Jouw
Rechten)).
Het uitvoeren van marktonderzoek staat hier niet bij (dit lijkt me niet onder de kopjes wettelijke verplichting, gerechtvaardigd belang of uitvoering overeenkomst vallen). Dus vraag ik me af: hebben deze mensen allemaal toestemming gegeven voor deze marktonderzoeken? Het lijkt mij vrij onaannemelijk (al zal ik zelf niet representatief zijn vermoed ik).
31-03-2023, 15:26 door Anoniem
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Ik zou bij meerdere bedrijven geraakt kunnen zijn maar van geen enkel bedrijf een mail ontvangen. Ik doe nooit mee aan klanttevredenheidsonderzoeken.
31-03-2023, 15:34 door Anoniem
Onderzoekburo koopt/licenceert software van softwaremaker tbv klanttevredenheidsonderzoek.
Naar analogie koopt/licenceert huisartsenpraktijk software tbv clientenregistratie van softwaremaker.
Via ArboNed liggen nu dus medische gevens op straat...
Hoe/waarom komen in vredesnaam ALLE klant- resp. clientgegevens bij de softwaremakers, die op deze wijze als reusachtige databrokers kunnen acteren?
Welke prutsers hebben hier niet op zitten letten?
31-03-2023, 16:06 door ShaWormHa
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Nee, maar heb al wel een paar grote partijen gesproken die aangeven dat hun persafdeling mailings gaat sturen. Iedereen is nog druk aan het inventariseren of ze niet ergens aan de onderkant aan het koppelen zijn met die partij.

Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Je kan in ieder geval dat ISO 270001 wel in de plee gooien.
31-03-2023, 16:55 door Anoniem
Door majortom:
Gerechtvaardigd belang: in bepaalde situaties heeft VodafoneZiggo een gerechtvaardigd
bedrijfsbelang om jouw gegevens te verwerken. Zo gebruiken wij jouw gegevens bijvoorbeeld om onze
diensten te beveiligen en te verbeteren en om fraude of misbruik te voorkomen.
Het uitvoeren van marktonderzoek staat hier niet bij (dit lijkt me niet onder de kopjes wettelijke verplichting, gerechtvaardigd belang of uitvoering overeenkomst vallen). Dus vraag ik me af: hebben deze mensen allemaal toestemming gegeven voor deze marktonderzoeken? Het lijkt mij vrij onaannemelijk (al zal ik zelf niet representatief zijn vermoed ik).
Ze gebruiken de gegevens uit de enquête om hun diensten te "verbeteren" en dat vinden ze een gerechtvaardigd belang en dus vinden ze dat ze geen toestemming hoeven te vragen.
31-03-2023, 18:03 door Anoniem
Door majortom: ... (ik negeer dit soort verzoeken altijd), of verstrekken deze organisaties gewoon een hele rits klantgegevens aan de marktonderzoeker die dan benaderd worden vanuit deze partijen?
Zo gaat het inderdaad vaak genoeg. Let de volgende keer bij het negeren eens op wie het eigenlijk verstuurd heeft.

Het uitvoeren van marktonderzoek staat hier niet bij (dit lijkt me niet onder de kopjes wettelijke verplichting, gerechtvaardigd belang of uitvoering overeenkomst vallen). Dus vraag ik me af: hebben deze mensen allemaal toestemming gegeven voor deze marktonderzoeken? Het lijkt mij vrij onaannemelijk (al zal ik zelf niet representatief zijn vermoed ik).
Ik denk dat ze gerechtvaardigd belang kunnen gebruiken om de eigen klanten voor dit soort dingen te benaderen, en dat het uitbesteden van het feitelijke werk en de gegevensverwerking daarvoor helemaal los staat van de verwerkingsgrondslagen. Als jij bij een webwinkel een bestelling doet dan mogen ze de bezorging ervan uitbesteden aan PostNL of zo zonder jou om toestemming daarvoor te hoeven vragen. Dan krijgt PostNL jouw naam en adres en dan zorgt PostNL voor berichten over wanneer het bezorgd wordt. Uitbesteden mag. Ik denk dat dat hier niet anders is.
31-03-2023, 18:10 door Anoniem
Door ShaWormHa:
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Nee, maar heb al wel een paar grote partijen gesproken die aangeven dat hun persafdeling mailings gaat sturen. Iedereen is nog druk aan het inventariseren of ze niet ergens aan de onderkant aan het koppelen zijn met die partij.

Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Je kan in ieder geval dat ISO 270001 wel in de plee gooien.
Nee Canadees: https://www.nebu.com/press-release/enghouse-systems-acquires-nebu
31-03-2023, 18:17 door Anoniem
Door ShaWormHa: Nog slechter is dat NeBu onbereikbaar is, en dat iedere poging om een te zien hoe groot het datalek nu precies is de telefoon op de haak gaat.

Waar rook is is vuur, maar ik ben bang dat het hier om een hele grote brand gaat.
Ze melden niet eens iets op hun site. Wat een arrogantie. Hoop dat het failliet gaat.
31-03-2023, 18:23 door Anoniem
Bij Blauw lees ik o.a. dat de belastingdins en de overheid ( welke diensten) ook klant zijn,
Evenals ABN AMRO,ING etc.
Dit wordt een groot lek.
Op de site van blauw wordt niets gemeld.
Wel een wervende tekst dat ze zo goed zijn.
31-03-2023, 18:34 door Anoniem
Misschien kan het AP dan wat meer mensen inhuren.


Een half jaar wacht je bij hun op een reactie, heb ik gehoord.


Ik roep al jaren. Het BSN moet veranderbaar worden. Maar eerst moeten ambtenaren het zelf voelen.

De burger wordt al jaren genegeerd, getreiterd, platgespoten.

Er zijn mensen die al alles kwijt hebben en niks te verliezen hebben

Tijd voor leaks dus... En een andere overheid. Een die ons wel respecteerd

Tic toc
31-03-2023, 18:40 door Anoniem
Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. Je ziet visual basic/asp er doorheen spatteren.
Volgens Nebu: Our values -> Open/Transparent https://www.nebu.com/nebu-values Niet dus!
DIt bedrijf verdien maar 1 ding door haar leugens en dat is faillissement
31-03-2023, 19:09 door Anoniem
Door ShaWormHa: Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Ze zijn onderdeel van een Canadees bedrijf: Enghouse. Nebu heeft naast het hoofdkantoor in Wormerveer wel ook een vestiging in Hongarije waar de onwikkeling (van software, neem ik aan) voor het grootste deel zou gebeuren.
https://www.computable.nl/artikel/nieuws/security/7487605/250449/datalek-softwarebedrijf-nebu-pijnigt-marktonderzoekers.html
31-03-2023, 20:23 door Anoniem
Ik vraag me af hoeveel van Nebu nog bestaat. Nebu is in 2021 overgenomen door Enghouse Systems, en overnames staan niet bekend als vriendelijk voor het personeel. Het is ook opvallend dat er geen nieuwe blog Posts en pers releases meer zijn geweest nadat Nebu is overgenomen.

Vraag mij af of er nog iemand in het bedrijf bestaan die ook maar enig idee heeft hoe het het pakket en alles erachter in elkaar steekt, of weet hoe de communicatielijnen lopen…
31-03-2023, 22:34 door Anoniem
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Ik heb een brief gehad van Stadgenoot, die samenwerkt met USP Marketing Consultancy. Er staat feitelijk niks concreets in. "Het zou kunnen dat...", "Mogelijk is daarbij een aantal van uw persoonsgegevens gelekt. Denk daarbij aan naam, emailadres en telefoonnummer"
31-03-2023, 23:53 door Anoniem
Door Anoniem:
Op de site van blauw wordt niets gemeld.
Wel een wervende tekst dat ze zo goed zijn.
Maar hoe te vinden?
https://www.blauw.com/nl/datalek-leverancier
01-04-2023, 09:59 door karma4
Door Anoniem: Ik roep al jaren. Het BSN moet veranderbaar worden. Maar eerst moeten ambtenaren het zelf voelen. ...Tic toc
Het BSN is een nietszeggend nummer om persoonsverwisselingen in administraties te verminderen.
Dat er een zo'n opgeblazen betekenis aan gehangen wordt is de grootste onzin.
Jouw DNA namen met je afkomst staat je leven lang vast. Als je je druk maakt over privacy moet je het beter doen.
Kan zijn dat je z'n fout figuur bent zonder verantwoordelijkheid of plichtsbesef naar anderen. In dat geval, zeur niet.
01-04-2023, 10:02 door karma4
Door Anoniem: Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. ...
Ton nu toe zie ik enkel web-based opens source technologie waar het om gaat.
Internet en open source in niet ontworpen voor veiligheid. Security ontbreekt by design. Contracten bestaan daar niet.
01-04-2023, 10:34 door karma4
Wat ik niet begrijp is:
- het gaat om marktonderzoek
- Voor marktonderzoek moet een beperkte set aan gegevens aan de onderzoekers gegeven worden.
- Bij de datalek meldingen lijkt niemand te weten welke gegevens aan de onderzoekers gegeven zijn.
Hoe kan het de eigenaar van de data niet weet welke data hij overhandigd heeft?
Alles wat buiten de deur staat kan door de betreffende verwerker gelekt worden.
01-04-2023, 10:37 door Anoniem
Door Anoniem:
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Ik zou bij meerdere bedrijven geraakt kunnen zijn maar van geen enkel bedrijf een mail ontvangen. Ik doe nooit mee aan klanttevredenheidsonderzoeken.
Het gaat vermoedelijk via gerechtvaardig belang een onderzoek naar bestaande en voormalige klanten. Gehele verzameling is inzichtelijk voor onderzoeker waarbij de onderzoeker de omvang bepaald en een steekproef van de data gebruikt.
Dus je hoeft alleen maar klant te zijn (geweest) bij een van de bedrijven.
De data zal veelal contact info zijn, naast data die relevant is voor de onderzoeker om selectie te bepalen.

Al kan niet uitgesloten worden dat er meer beschikbaar is omdat eigenaar van de dataset niet goed voorselecteert.
Dus deelname in deze is niet relevant.
01-04-2023, 10:42 door Anoniem
Door Anoniem: Ik vraag me af hoeveel van Nebu nog bestaat. Nebu is in 2021 overgenomen door Enghouse Systems, en overnames staan niet bekend als vriendelijk voor het personeel. Het is ook opvallend dat er geen nieuwe blog Posts en pers releases meer zijn geweest nadat Nebu is overgenomen.

Vraag mij af of er nog iemand in het bedrijf bestaan die ook maar enig idee heeft hoe het het pakket en alles erachter in elkaar steekt, of weet hoe de communicatielijnen lopen…
Dat is allen maat goed voor de omvang van de boete die gaat over wereldwijde omzet...
01-04-2023, 11:22 door Anoniem
Door karma4:
Door Anoniem: Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. ...
Ton nu toe zie ik enkel web-based opens source technologie waar het om gaat.
Internet en open source in niet ontworpen voor veiligheid. Security ontbreekt by design. Contracten bestaan daar niet.

Laat even zien dat het enkel web-based opensource technologie is. Of klets je weer gewoon uit je nek.
01-04-2023, 11:43 door Anoniem
De aandacht lijkt zich steeds meer te verplaatsen van Blauw naar Nebu en ik vermoed dat door Blauw hier een zeer bewuste strategie op is gezet. Ik ga ervan uit dat wijzende vinger helemaal terecht is, maar het zou ook goed zijn de overeenkomsten tussen Blauw en Nebu eens onder de loep te nemen. Vaak zie zie je dat er geen concrete maatregelen worden geëist en dat er erg geleund wordt op de 27001-certificaten.
01-04-2023, 12:33 door Anoniem
Maar het is al zo geregeld binnen de EU - bij een overeenkomst met een developer,
hebben de eindgebruikers hun rechten al opgegeven. Je hebt dus altijd het nakijken.

Als er wat gebeurt is dat slechts voor de Bühne en niets mdeer.
01-04-2023, 16:20 door Anoniem
Door karma4:
Door Anoniem: Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. ...
Ton nu toe zie ik enkel web-based opens source technologie waar het om gaat.
Internet en open source in niet ontworpen voor veiligheid. Security ontbreekt by design. Contracten bestaan daar niet.
Als er geld betaald wordt IS er een contract of overeenkomst. Open Source maakt hier geen verschil in.
Er zijn zeer succesvolle bedrijven gebaseerd op open source.. Nextcloud, Redhat, IBM, ...
01-04-2023, 16:22 door Anoniem
Door Anoniem: Maar het is al zo geregeld binnen de EU - bij een overeenkomst met een developer,
hebben de eindgebruikers hun rechten al opgegeven. Je hebt dus altijd het nakijken.

Als er wat gebeurt is dat slechts voor de Bühne en niets mdeer.
Beiden zullen nog steeds aan de geldende wetten moeten voldoen.
01-04-2023, 16:34 door Anoniem
Door Anoniem: Onderzoekburo koopt/licenceert software van softwaremaker tbv klanttevredenheidsonderzoek.
Naar analogie koopt/licenceert huisartsenpraktijk software tbv clientenregistratie van softwaremaker.
Via ArboNed liggen nu dus medische gevens op straat...
Hoe/waarom komen in vredesnaam ALLE klant- resp. clientgegevens bij de softwaremakers, die op deze wijze als reusachtige databrokers kunnen acteren?
Welke prutsers hebben hier niet op zitten letten?
Dezelfde managers die, na herhaald gewaarschuwd te zijn, persoonsdata bij Microsoft/Amazon/Google in de cloud zetten.
01-04-2023, 17:57 door Anoniem
Door Anoniem:
Het gaat vermoedelijk via gerechtvaardig belang een onderzoek naar bestaande en voormalige klanten. Gehele verzameling is inzichtelijk voor onderzoeker waarbij de onderzoeker de omvang bepaald en een steekproef van de data gebruikt.
Dus je hoeft alleen maar klant te zijn (geweest) bij een van de bedrijven.
De data zal veelal contact info zijn, naast data die relevant is voor de onderzoeker om selectie te bepalen.

Al kan niet uitgesloten worden dat er meer beschikbaar is omdat eigenaar van de dataset niet goed voorselecteert.
Dus deelname in deze is niet relevant.

Dat is allemaal specuatie, wat hebben we daar nou aan?
Aannemelijk is dat bedrijven die klanttevredenheid willen onderzoeken een lijst van te benaderen klanten naar Blauw
of een ander bureau sturen. Die sturen deze gegevens vervolgens weer door naar Nebu. Dan wordt er een mail
verstuurd naar de betreffende klanten, wellicht door nog weer een ander bedrijf (dat hebben we nog niet gehoord),
en de klanten die dan mee gaan doen die verstrekken nog meer gegevens aan Nebu, die dat vervolgens door hun
software halen en de resultaten aan Blauw geven, die daar een mooi rapport van maken en aan hun klant (een
bedrijf zoals Ziggo) geven.
Nu is er bij Nebu wat ontvreemd, maar we weten helemaal niet of dat de lijst van te benaderen personen was, of
het bestand met de door die personen ingevulde gegevens. De berichten van de betreffende bedrijven "het gaat
om klanten die meededen aan een onderzoek" die suggereren het laatste. Maar het kan best zijn dat de ruwe lijst
van klanten ook gelekt is. Daar zullen dan minder gegevens in staan dan in dat onderzoeksbestand.

En uiteraard moet een bedrijf hun klanten de mogelijkheid bieden om dit soort gezeur met onderzoeken niet te
hebben. Meestal kun je dit wel ergens in je "mijn XXXX" pagina instellen, en/of opgeven op het moment dat je er
een account maakt. De vraag is dan: stuurt dat bedrijf dan alleen een lijst van mensen die ze mogen onderzoeken
naar Blauw, of sturen ze een lijst van al hun klanten met een kolom "benaderen ja/nee" er bij.
We weten het allemaal niet!
01-04-2023, 19:22 door nnsa
Ben bij verschillende getroffen organisaties bekend, maar tot op heden van geen enkel bedrijf c.q. dienstverlener enige reactie gehad...

Bravo AVG/GDPR !
02-04-2023, 00:40 door Anoniem
Door Anoniem: Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. Je ziet visual basic/asp er doorheen spatteren.
Volgens Nebu: Our values -> Open/Transparent https://www.nebu.com/nebu-values Niet dus!
DIt bedrijf verdien maar 1 ding door haar leugens en dat is faillissement
O, jee! Alle Microsoftgebruikers liggen over de vloer bij Nebu! Dat is een lek van wel een paar miljard Microsoft gebruikers! Waar moet dat heen met deze wereld, waar iedereen wordt genept?
02-04-2023, 08:50 door Anoniem
Door nnsa: Ben bij verschillende getroffen organisaties bekend, maar tot op heden van geen enkel bedrijf c.q. dienstverlener enige reactie gehad...
Ik ook, en ik heb ook geen bericht gehad. Ik heb gisteren iemand gesproken die juist van nogal veel organisaties bericht heeft gekregen, inclusief organisaties die mij ook kennen. Dat kan verschillende verklaringen hebben. Een mogelijkheid is dat het waarschuwen van zeer grote aantallen mensen tijd nodig heeft en dat ik simpelweg nog niet aan de beurt ben gekomen. Een andere mogelijkheid is dat ik toevallig niet in de selectie van klanten zit die op dit moment bij zo'n onderzoeksbureau ligt. Dit kan voor jou ook gelden. Maar het is inderdaad ook mogelijk dat er fouten gemaakt worden en mensen worden overgeslagen die wel ingelicht zouden moeten worden.

Bravo AVG/GDPR !
Vind je dat de wet gefaald heeft omdat je nog niets gehoord hebt? Een wet faalt niet, dat zijn woorden op papier, het zijn mensen die kunnen falen. Een wetgever kan falen door een wet slecht of helemaal niet te schrijven. Een toezichthouder kan falen door slecht toezicht te houden. Mensen en organisaties kunnen falen door zich niet aan de wet te houden.

Als jouw punt is dat je niet gewaarschuwd bent terwijl dat wel had gemoeten dan zijn het de organisaties die dat hadden moeten doen die falen, want die houden zich dan niet aan de wet. Als je er gelijk in hebt, althans; het is mogelijk dat we de meldingen nog gaan krijgen en het is ook mogelijk dat we geluk hebben en nergens in een selectie voor klantonderzoek zitten die door het lek is geraakt.
02-04-2023, 09:22 door karma4
Door Anoniem: Als er geld betaald wordt IS er een contract of overeenkomst. Open Source maakt hier geen verschil in. Er zijn zeer succesvolle bedrijven gebaseerd op open source.. Nextcloud, Redhat, IBM, ...
Je noemt een lijst van commerciële aanbieders die opens source in een hun closed dure licenties aanbieden.
Komisch genoeg schijnt de laatste een sleutelrol te vervullen in het werk van de martktonderzoekers bij dit datalek.

Er is niemand die gekeken heft of gevraagd heeft wat er in genoemde keten speelt.
Ik ben tot het volgende gekomen.
- Organisaties hebben een gerechtvaardigd belang bij marktonderzoek - proces analyse
- Organisaties besteden het werk van marktonderzoek graag uit
Het belangrijkste voordeel bij uitbesteden is geen eigen personeel, geen moeilijke interne discussies
- Marktonderzoekbureaus besteden de technische infrastructuur uit.
Wat ze nodig hebben is:
+ database / oplsag gegevens
+ uitwisseling van de extracten relatie gegevens opdracht gevers met doel
+ enquete optie
+ verwerkingsoptie van de gegevens
Hier komt Nebu in beeld. Ik verwacht niets technisch inhoudelijks op wat voor vlak bij de markonderzoekbureau's.

Met de enqueteoptie heeft nebu een lange historie. Deze is web based en geschikt voor meerdere technologieën.
Ze zeggen de eerste versie ooit op de voorloper van de ipad te hebben gehad.

Voor het uitwisselen van gegevens de gangbare lijst cloud aanbieder maar sluit andere meer beveiligde opties niet uit.
Een database benadering, ja hier wort Sql server genoemd en dat specifieke IBM product voor de statistische verwerking.
Nee geen python al komt die software bij het onderwijs wel degelijk voor.

De omvang van de data is naar huidige maatstaven niet groot. Alles is tekst based. We praten over wat Gb's.
Prima on-line remote te doen.

Hier zie je meteen wat er mis gegaan kan zijn. Is er op wat voor manier dan ook onterecht toegang tot de centrale voorziening geweest dan is het datalek massaal.

Gelukkig is op de impact nogal wat aan te merken. Het meeste van de betrokken gegevens zal op een andere manier ook al bekend zijn. Het niveau dat een telefooncel van vroeger wegens de telefoonboeken nu als een gigantisch datalek gezien wordt is een zeer kromme privacy risico insteek.
02-04-2023, 14:06 door majortom
Door karma4:
Door Anoniem: Als er geld betaald wordt IS er een contract of overeenkomst. Open Source maakt hier geen verschil in. Er zijn zeer succesvolle bedrijven gebaseerd op open source.. Nextcloud, Redhat, IBM, ...
Je noemt een lijst van commerciële aanbieders die opens source in een hun closed dure licenties aanbieden.
Komisch genoeg schijnt de laatste een sleutelrol te vervullen in het werk van de martktonderzoekers bij dit datalek.

Er is niemand die gekeken heft of gevraagd heeft wat er in genoemde keten speelt.
Ik ben tot het volgende gekomen.
- Organisaties hebben een gerechtvaardigd belang bij marktonderzoek - proces analyse
Naar mijn mening is dat gerechtvaardigd belang erg mager. Heel vaak zijn die enquetes alleen bedoeld om ervoor te zorgen dat er meer geld verdiend gaat worden. Niets proces analyse, maar pure marketing.
- Organisaties besteden het werk van marktonderzoek graag uit
Het belangrijkste voordeel bij uitbesteden is geen eigen personeel, geen moeilijke interne discussies
Als je dat werk uitbesteedt moet je het wel naar een betrouwbare partij uitbesteden. Je bent als bedrijg nog steeds verantwoordelijk voor de data dus hebt een onderzoeksplicht en die gaat verder dan "het bedrijf heeft een ISO 2700x certificaat", wat in praktijk vaak niet heel veel betekent. Dat echte onderzoek gebeurt echter meestal niet, want te duur (alles moet zo goedkoop mogelijk).

- Marktonderzoekbureaus besteden de technische infrastructuur uit.
Wat ze nodig hebben is:
+ database / oplsag gegevens
+ uitwisseling van de extracten relatie gegevens opdracht gevers met doel
+ enquete optie
+ verwerkingsoptie van de gegevens
Hier komt Nebu in beeld. Ik verwacht niets technisch inhoudelijks op wat voor vlak bij de markonderzoekbureau's.
Ook die marktonderzoeksbureau heeft dezelfde onderzoeksplicht naar zijn technische partij toe. En die technische partij laat een behoorlijk aantal steken vallan. Het zou niet zo moeten zijn dat data van alle klanten op straat kan komen te liggen vanwege een enkel lek. Dan heb je echt zitten slapen bij je implementatie. Data zou minimaal op klantniveau van elkaar moeten worden gescheiden (hetzij in andere databases, in ieder geval met een andere keys versleutelen). Ik vermoed gebrekkige IAM, geen SoD, geen adequate encryptie (waarschijnlijk gewoon een diskencryptie om aan de ISO eisen te voldoen en een groen vinkje kunnen zetten) en hoogstwaarschijnlijk geen adequate monitoring. Maar ja, alles om de kosten zo laag mogelijk te houden en de winst te maximaliseren.
Met de enqueteoptie heeft nebu een lange historie. Deze is web based en geschikt voor meerdere technologieën.
Ze zeggen de eerste versie ooit op de voorloper van de ipad te hebben gehad.

Voor het uitwisselen van gegevens de gangbare lijst cloud aanbieder maar sluit andere meer beveiligde opties niet uit.
Een database benadering, ja hier wort Sql server genoemd en dat specifieke IBM product voor de statistische verwerking.
Nee geen python al komt die software bij het onderwijs wel degelijk voor.

De omvang van de data is naar huidige maatstaven niet groot. Alles is tekst based. We praten over wat Gb's.
Prima on-line remote te doen.

Hier zie je meteen wat er mis gegaan kan zijn. Is er op wat voor manier dan ook onterecht toegang tot de centrale voorziening geweest dan is het datalek massaal.

Gelukkig is op de impact nogal wat aan te merken. Het meeste van de betrokken gegevens zal op een andere manier ook al bekend zijn. Het niveau dat een telefooncel van vroeger wegens de telefoonboeken nu als een gigantisch datalek gezien wordt is een zeer kromme privacy risico insteek.
Het verschil tussen het oude telefoonboek en dit soort zaken is gigantisch. Het oude telefoonboek was analoog en per regio. Je moest dan het juiste telefoonboek in handen kunnen krijgen om er wat mee te kunnen. Grootschalig misbruik kostte dan erg veel menskracht, dus was de impact dan in bijna alle gevallen laag. In de digitale wereld betekenen dit soort lekken dat er geautomatiseerd op grootschalige wijze misbruik van de data gemaakt kan worden: dat maakt de impact significant groter. Niet voor niets had KPN toen de telefoongids digitaal beschikbaar kwam de reverse lookup optie (dus NAW gegevens verkrijgen op basis van een telefoonnummer) niet beschikbaar: je moest al over NAW gegevens beschikken om het telefoonnummer te verkrijgen. Verder kon je in de analoge telefoonboeken je nummer niet laten vermelden: dat is bij deze aanbieders niet het geval. Je gegevens worden rucksichtloos aan allerhande partijen verstrekt, zonder dat je daar wat tegen kunt doen als je er een (betaalde) dienst afneemt, want "gerechtvaardigd belang". Te zot voor woorden.
02-04-2023, 14:55 door Anoniem
Door Anoniem: Ze zullen wel een boete krijgen. Van 500 euro ofzo. Dat zal ze leren!

Of excuses laten aanbieden…
02-04-2023, 15:07 door Anoniem
Door karma4: - Organisaties hebben een gerechtvaardigd belang bij marktonderzoek - proces analyse

Belangen van klanten/burgers/personen horen voor commerciele belangen van bedrijven te gaan.
De gegevens gaan namelijk over die personen, niet over de bedrijven.
En keer op keer blijktt weer dat bedrijven niet te vertrouwen zijn om (100% van de tijd) zorgvuldig met die gegevens om te gaan.

De simpelste oplossing is, haal dathele gerechtvaardigde belangt uit de wet. het wordt te vaak misbruikt.
Willen bedrijven gegevens van personen gebruiken, dat sturen ze maar een brief om om individuele toestemming te vragen. Voor die ene keer.
Als het te kostebaar voor bedirjven wordt, stoppen ze er vanzelf wel mee. Of doen het alleen nog wanneer het echt nodig is.
De rest van de tijd kunnen ze met geaggregeerde gegevens werken.

Voorkomen is beter dan genezen.
Nu gaat het te vaak fout. Dan is et bbeter dat ze die gegevens niet hebben of zo min mogelijk, en niet kunnen hergebruiken.
"Gerechtvaardigd" belang maakt "slachtoffers".
02-04-2023, 16:02 door Anoniem
Door karma4:
Door Anoniem: Ik roep al jaren. Het BSN moet veranderbaar worden. Maar eerst moeten ambtenaren het zelf voelen. ...Tic toc
Het BSN is een nietszeggend nummer om persoonsverwisselingen in administraties te verminderen.
Dat er een zo'n opgeblazen betekenis aan gehangen wordt is de grootste onzin.
Jouw DNA namen met je afkomst staat je leven lang vast. Als je je druk maakt over privacy moet je het beter doen.
Kan zijn dat je z'n fout figuur bent zonder verantwoordelijkheid of plichtsbesef naar anderen. In dat geval, zeur niet.

Zeker nooit slachtoffer geweest van foute mensen.... meneer zeur niet....

Zeg je dat ook tegen vrouwen die aangerand zijn omdat ze een te kort rokje droegen, die vroegen er zeker zelf om?

#wereldbeeld
02-04-2023, 20:01 door Anoniem
Door nnsa: Ben bij verschillende getroffen organisaties bekend, maar tot op heden van geen enkel bedrijf c.q. dienstverlener enige reactie gehad...

Bravo AVG/GDPR !
Hier enkel mail gehad van de NS, hadden zij net zo goed niet kunnen sturen. Staat niks zinnigs in en direct reageren op de mail kan uiteraard niet. Je moet maar contact opnemen met de klanten'service' (nog meer data/persoonsgegevens met derden delen, en waar ging het nu juist mis...).

Zouden nog minimaal 2 andere organisaties moeten zijn waar gegevens gelekt zijn, maar daar hoor ik vooralsnog niets van.
03-04-2023, 09:14 door Anoniem
Door Anoniem: De simpelste oplossing is, haal dathele gerechtvaardigde belangt uit de wet. het wordt te vaak misbruikt.
Zo simpel is het niet, gerechtvaardigd belang heeft ook wel eens een functie die je niet kan missen.

Als jij je bank opdracht geeft geld over te boeken naar iemand anders, dan geef je daarbij persoonsgegevens van een ander op: naam en IBAN. Jouw bank hoeft zelf geen contract met of toestemming van die ander hebben, die kan klant zijn bij een andere bank. Toch moet jouw bank die gegevens verwerken om de overboeking te kunnen doen.

Dat is een voorbeeld van gerechtvaardigd belang: de bank kan onmogelijk een bank zijn zonder persoonsgegevens te verwerken van mensen waar die zelf geen enkele relatie mee heeft.

Houd dat eens naast hoe de AVG dat gerechtvaardigde belang als verwerkingsgrond definieert:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Voor een bank is het inderdaad pure noodzaak is om zonder contract of toestemming persoonsgegevens te verwerken, anders kan er geen geld overgemaakt worden. Dat is niet alleen het belang van de bank zelf, maar van alle klanten van alle banken, inclusief degenen van wie zonder toestemming persoonsgegevens worden verwerkt. Want zij hebben er belang bij dat ze het geld dat een ander naar ze overboekt kunnen ontvangen. Dit is een voorbeeld van gerechtvaardigd belang dat je echt niet wilt afschaffen.

Als je de definitie van de verwerkingsgrond "gerechtvaardigd belang" goed leest blijkt die helemaal niet laagdrempelijg. Het is niet simpel "hier verdien ik mijn geld mee dus kan ik er aanspraak op maken", wat in wezen het argument is dat meestal gebruikt wordt.

Geld verdienen is inderdaad een gerechtvaardigd belang, maar de specifieke manier waarop je dat doet is pas een noodzaak als het echt niet op een andere manier kan. Ik denk dat die drempel meestal al niet genomen worden. Bij die overboekingen door banken is de noodzaak er inderdaad, maar meestal valt er best op een andere manier iets voor elkaar te krijgen. Advertenties bijvoorbeeld kunnen ook geplaatst worden bij pagina's en video's waar ze een relatie mee hebben, in plaats van aan personen gekoppeld te worden. NPO/STER hebben al laten zien dat ze daar zelfs meer advertentie-inkomsten aan overhouden. En een bedrijf kan wel stellen dat voldoende inkomsten om de continuïteit te waarborgen noodzakelijk zijn, maar niet dat winstmaximalisatie ten koste van alles een noodzaak is.

Dus de noodzakelijkheid aantonen is al een serieuze drempel. Maar als die genomen is moet het belang van de verwerker ook nog eens zwaarder wegen dan de grondrechten en belangen van de betrokkenen wiens persoonsgegevens worden verwerkt. Dat is ook geen lage drempel, want de bescherming van persoonsgegevens zelf is een grondrecht. De AVG valt meteen in overweging (1) met de deur in huis door dat te melden en de artikelen in EU-verdragen te noemen die dat grondrecht vaststellen. Laat even doordringen wat dat betekent. Het betekent dat iedereen die een beroep doet op gerechtvaardigd belang daarmee claimt dat dat belang zo zwaar weegt dat een grondrecht van de betrokkenen geschonden mag worden. Dat is echt geen kattenpis, dat is een serieus hoge drempel om te nemen.

Dit kan je al concluderen door van de AVG enkel overweging (1) en artikel 6, lid 1, sub f (de geciteerde definitie van gerechtvaardigd belang als verwerkingsgrondslag) tot je door te laten dringen. Twee korte alinea's tekst, meer niet.

Ik denk dat het probleem helemaal niet is dat, of hoe, de AVG gerechtvaardigd belang definieert, ik denk dat het probleem is dat maar al te veel bedrijven sterk naar hun eigenbelang toe redeneren en alles in de strijd gooien om daar hun gelijk in te halen. Dat gaan die bedrijven doen bij elke formulering die je maar kiest om de rechten te beschrijven die zij willen schenden.

Op de formuleringen in de AVG is echt wel wat aan te merken, trouwens, maar in mijn ogen is dat niet de kern van het probleem. Iedereen die de AVG op een integere manier leest, en kijkt wat de toezichthoudende autoriteiten aan uitleg erover geven, en kijkt naar wat er inmiddels aan jurisprudentie over is, die kan gewoon de juiste conclusies trekken. Deze bedrijven trekken de juiste conclusies niet omdat ze dat helemaal niet willen. Als er een beter geformuleerde wet is dan willen ze dat nog steeds niet en trekken ze nog steeds alles uit de kast, inclusief dure juristen, om te proberen hun zin door te drukken.

Dat is het werkelijke probleem, en dat is helemaal niet simpel op te lossen.
03-04-2023, 09:14 door majortom - Bijgewerkt: 03-04-2023, 09:15
Door Anoniem:
Door karma4:
Door Anoniem: Ik roep al jaren. Het BSN moet veranderbaar worden. Maar eerst moeten ambtenaren het zelf voelen. ...Tic toc
Het BSN is een nietszeggend nummer om persoonsverwisselingen in administraties te verminderen.
Dat er een zo'n opgeblazen betekenis aan gehangen wordt is de grootste onzin.
Jouw DNA namen met je afkomst staat je leven lang vast. Als je je druk maakt over privacy moet je het beter doen.
Kan zijn dat je z'n fout figuur bent zonder verantwoordelijkheid of plichtsbesef naar anderen. In dat geval, zeur niet.

Zeker nooit slachtoffer geweest van foute mensen.... meneer zeur niet....

Zeg je dat ook tegen vrouwen die aangerand zijn omdat ze een te kort rokje droegen, die vroegen er zeker zelf om?

#wereldbeeld
Hier heet @karma4 toch wel een punt. Een BSN is een gegenereerd nummer, dat uniek aan een persoon is toegekend. Op zich is het algoritme bekend (zie ook https://nl.m.wikipedia.org/wiki/Burgerservicenummer#11-proef). Je kunt dus gewoon een simpel programmaatje schrijven dat alle mogelijke BSNs genereert. Een BSN is dus gewoon een gegenereerd nummer dat aan iemand wordt toegekend om koppelling tussen allerhande databases mogelijk en eenduidig te maken (als een UUID of "ouderwets" database id).

Op zich dus een gewoon nummer. Het probleem wordt veroorzaakt doordat bedrijven en instanties dit als een identificerend nummer zien (als je NAW + BSN weet, eventueel aangevuld met geboortedatum dan zien dit soort instanties dit als een volwaardige identificatie). daar gaat het fout, want dat is het niet. Het is dus op zijn zachtst gezegd opmerkelijk dat ik een bank kan bellen en op grond van deze gegevens allerhande wijzigingen kan uitvoeren.

Dus als iemand de combinatie van deze gegevens (dus BSN, NAW, geboortedatum) weet te achterhalen kan deze allerhande frauduleuze activiteiten ontplooien op jouw naam (zogenaamde identiteitsfraude). Ikzelf probeer dit in ieder geval te verhinderen door regelmatig pseudoniemen en valse geboortedatums te verstrekken aan instanties waarvan ik denk dat ze er niets mee te maken hebben.

Uiteindelijk is het probleem dus gewoon dat bedrijven de combi van deze gegevens als identificererend gegeven beschouwen. Dat zou moeten veranderen. Nu draaien de burgers ervoor op als er op grond van deze gegevens fraude wordt gepleegd omdat er onterecht vanuit wordt gegaan dat als je deze gegevens weet ook echt de persoon bent die je claimt te zijn.
03-04-2023, 09:24 door ShaWormHa
Door Anoniem:
Door ShaWormHa: Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Ze zijn onderdeel van een Canadees bedrijf: Enghouse. Nebu heeft naast het hoofdkantoor in Wormerveer wel ook een vestiging in Hongarije waar de onwikkeling (van software, neem ik aan) voor het grootste deel zou gebeuren.
https://www.computable.nl/artikel/nieuws/security/7487605/250449/datalek-softwarebedrijf-nebu-pijnigt-marktonderzoekers.html

Dank voor het opzoeken! Maakt het e.e.a duidelijker.

Door Anoniem:
Door ShaWormHa:
Door Anoniem: Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Nee, maar heb al wel een paar grote partijen gesproken die aangeven dat hun persafdeling mailings gaat sturen. Iedereen is nog druk aan het inventariseren of ze niet ergens aan de onderkant aan het koppelen zijn met die partij.

Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Je kan in ieder geval dat ISO 270001 wel in de plee gooien.
Nee Canadees: https://www.nebu.com/press-release/enghouse-systems-acquires-nebu

Jij ook dank!


NeBu blijft nog steeds stil. Geeft mij zon LastPass gevoel, Lijkt alsof er daar wel een heel serieus lek is.
Zul je net zien dat ook daar een developer zijn password hetzelfde heeft als de Plex password net als bij LastPass.Woeps

Maakt het e.e.a al weer duidelijk, Integron en NCR maken in ieder geval geen gebruik van de diensten van NeBu. Die hebben gellukig een eigen platform.
03-04-2023, 09:40 door Anoniem
Ook gehoord dat Nebu overgenomen is door een partij in Hongarije.
Dus Rusland. Tadaa. Zo is er wel eend doelgroep te maken voor misinformatie. Dankzij de antwoorden op het marktonderzoek is per postcode, leeftijdcategorie en wat dies meer heel mooi een doelgroep te targeten.

Want álle klantgegevens lagen denk ik bij NeBU. Die NeBu verzorgden vast de software als een SaaS en zorgden voor de random selectie op basis van een aantal parameters van de onderzoekers.

Voor ons als gewone klanten zijn de inkopers (onze directe leveranciers) in de keten de aansprakelijken en zullen we ons verhaal moeten gaan halen. Zij hebben zich niet aan hún verantwoordelijkheid gehouden goed om te gaan met onze gegevens door het aan een niet betrouwbare derde over te dragen.
03-04-2023, 18:15 door karma4 - Bijgewerkt: 03-04-2023, 18:17
Door Anoniem: Zeker nooit slachtoffer geweest van foute mensen.... meneer zeur niet....
Zeg je dat ook tegen vrouwen die aangerand zijn omdat ze een te kort rokje droegen, die vroegen er zeker zelf om?
#wereldbeeld
Het wereldbeeld dat je BSN geheim moet houden en dat dat je veiligheid is, dat komt inderdaad overeen met het verwijt "kort rokje dragen dus zelf schuldig". De verwerker hoort een gedegen controle van juiste en gerechtigde persoon te doen.
Dat wordt gefrustreerd door een raar wereld beeld van onbekend en onherkenbaar moeten zijn.

Door majortom: ....
Uiteindelijk is het probleem dus gewoon dat bedrijven de combi van deze gegevens als identificererend gegeven beschouwen. Dat zou moeten veranderen. Nu draaien de burgers ervoor op als er op grond van deze gegevens fraude wordt gepleegd omdat er onterecht vanuit wordt gegaan dat als je deze gegevens weet ook echt de persoon bent die je claimt te zijn.
Dank u, dat is waar het mij om gaat.
03-04-2023, 19:01 door karma4
Door majortom: ...
Naar mijn mening is dat gerechtvaardigd belang erg mager. Heel vaak zijn die enquetes alleen bedoeld om ervoor te zorgen dat er meer geld verdiend gaat worden. Niets proces analyse, maar pure marketing.
Ik laat de bedrjifsvoering met keuzes liever aan de managers over. Nee marketing en proces aansturing is wel degelijk een aandachtspunt bij ze. Ik geloof eerder dat in de dolgedraaide ICT hypes ze dat besef zelf nauwelijks meer kunnen plaatsen.
De grote duurbetaalde consultancy bureaus waarvandaan komt hoe het zou moeten.

Als je dat werk uitbesteedt moet je het wel naar een betrouwbare partij uitbesteden. Je bent als bedrijf nog steeds verantwoordelijk voor de data dus hebt een onderzoeksplicht en die gaat verder dan "het bedrijf heeft een ISO 2700x certificaat", wat in praktijk vaak niet heel veel betekent. Dat echte onderzoek gebeurt echter meestal niet, want te duur (alles moet zo goedkoop mogelijk).

Het wonderlijke in het verhaal is dat druppelsgewijs benoemen van getroffen ketens.
Dat duidt er op dat nebu van de achterliggende keten gewoon niets wist, enkel infra ter beschikking stelde.
Een rol die meer bij een telecomprovider past. Wie gaat KPN Ziggo ams-ix dan wel google cloud controleren?
ER is genoeg te vinden ook bij "betrouwbare partijen" waar de absolute veiligheid van gegevens een vraag is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.