image

AP: geef bedrijven niet onnodig gegevens en maak gebruik van KopieID-app

dinsdag 6 juni 2023, 07:02 door Redactie, 24 reacties

De afgelopen jaren ontving de Autoriteit Persoonsgegevens (AP) meer dan 114.000 datalekmeldingen, maar er zijn verschillende maatregelen die mensen kunnen nemen om vooraf de schade te voorkomen, zoals het gebruik van de KopieID-app en het niet verstrekken van gegevens die bedrijven niet echt nodig hebben om een dienst aan te bieden. Dat meldt de AP in de vandaag verschenen datalekrapportage over 2022.

Volgens de toezichthouder is de kans zeer groot dat iemand onderdeel van een datalek is geweest. Door middel van een aantal maatregelen kan de kans op schade door toekomstige datalekken worden verkleind. Zo adviseert de AP het gebruik van een uniek wachtwoord voor elk account en het gebruik van de KopieID-app. "Met deze app kunt u gegevens doorstrepen die organisaties niet nodig hebben. Zo zorgt u ervoor dat u het risico op identiteitsfraude verkleint als de organisatie wordt getroffen door een cyberaanval", aldus de toezichthouder.

Een ander punt dat de Autoriteit Persoonsgegevens noemt is het baas zijn over eigen gegevens. "Vraagt een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef die gegevens dan niet." Als laatste wordt door de AP aangeraden om van de privacyrechten gebruik te maken en organisaties te vragen om bepaalde gegevens te verwijderen. "Bijvoorbeeld als u een account voor een webshop niet meer gebruikt. Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt."

Reacties (24)
06-06-2023, 07:14 door Anoniem
Dus men wil dat je een stuk software installeert op een apparaat waar je niet zelf de baas bent maar een bedrijf wat leeft van data-graaien, waar de overheid graag CSS op wil hebben draaien om te voorkomen dat je meer data verstrekt dan nodig is. Right.

Ohja... waarom zou ik überhaupt *iemand* een copie van een ID kaart ofzo sturen?

Ik zou zeggen: stop met digi-drammen en doe weer normaal.
06-06-2023, 07:35 door karma4
De AP blijft maar volharde dst het weten van een bsn gelijk staat aan het hebben van de autenticatie toegang tot gegevebs.
De basis van wat informatie identificatie en autenticatie is ontbreekt.
Te veel naar het SSN falen gekeken waar die fout gemaakt werd.
06-06-2023, 08:20 door Anoniem
Ik was in de veronderstelling dat alleen bedrijven als verzekeraars, banken, zorgverleners en de staat mag vragen om een ID.
Maar telekom bedrijven e.d. hebben er een handje van om dat als de normaalste zaak van de wereld te beschouwen.
"Ja meneer sorry ik werk hier ook maar gewoon" en daarmee is het af.
Blijf het bizar vinden hoe dat er in geslopen is en dat er ogenschijnlijk weinig aan gedaan wordt.
06-06-2023, 08:50 door Anoniem
Zorg dan voor wetgeving waarbij niet iedereen om een kopie paspoort vraagt als je een ijsje wilt kopen!
06-06-2023, 08:51 door Anoniem
Neem aan dat AP dit in het algemeen bedoelt, want het geld net zo voor gemeentes bijvoorbeeld, andere instanties die geen bedrijf zijn.
Zoals de gemeente Roermond die vraagt gewoon het NAW, geboortedatum, BSN als je een vergunning vraagt om tijdelijk gebruik te maken van de stoep voor het plaatsen van een verhuislift.
06-06-2023, 09:41 door Anoniem
https://reports.exodus-privacy.eu.org/en/reports/com.milvum.kopieid/latest Slecht advies dus.
Zit echter wel (soort van) vooruitgang in, in andere applicaties van de overheid zitten trackers van Microsoft en Google.
06-06-2023, 09:45 door Anoniem
"Vraagt een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef die gegevens dan niet."

Zo ontzettend tenenkrommend weer door de AP. Wanneer je bij de AP niet al jouw persoonsgegevens geeft, wordt simpelweg jouw klacht niet in behandeling genomen.
Wat zegt de AVG* ook alweer over het vragen naar niet relevante persoonsgegevens?

*niet dat de AVG een vooruitgang is voor de normale burger.
06-06-2023, 09:58 door Anoniem
Door Anoniem: Zorg dan voor wetgeving waarbij niet iedereen om een kopie paspoort vraagt als je een ijsje wilt kopen!
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wie-mag-vragen-naar-mijn-identiteitsbewijs-en-wanneer

Er is wel degelijk wetgeving voor, wordt alleen totaal niet nageleefd.

Wat dacht je van een pakketje ophalen; 'dan moet ik wel uw ID even zien'
Uhhh Nee!
06-06-2023, 10:30 door _R0N_
Door Anoniem: Dus men wil dat je een stuk software installeert op een apparaat waar je niet zelf de baas bent maar een bedrijf wat leeft van data-graaien, waar de overheid graag CSS op wil hebben draaien om te voorkomen dat je meer data verstrekt dan nodig is. Right.

Ohja... waarom zou ik überhaupt *iemand* een copie van een ID kaart ofzo sturen?

Ik zou zeggen: stop met digi-drammen en doe weer normaal.

Als je een beperkte kopie (ja kopie schrijf je met een K) stuurt heb je er zelf invloed op. Vroegah legde men je ID kaart gewoon op een kopieerapparaat en hadden ze al je gegevens.
06-06-2023, 10:33 door Anoniem
Zo adviseert de AP het gebruik van een uniek wachtwoord voor elk account en het gebruik van de KopieID-app. "Met deze app kunt u gegevens doorstrepen die organisaties niet nodig hebben. Zo zorgt u ervoor dat u het risico op identiteitsfraude verkleint als de organisatie wordt getroffen door een cyberaanval", aldus de toezichthouder.
In plaats van dit soort lapmiddelen te propageren zou de overheid moeten komen met een systeem waarmee je kunt
aantonen dat je een bepaalde ID in bezit hebt zonder dat je een kopie moet sturen die anderen ook weer kunnen gebruiken.
Dwz degene die voor een transactie jouw identiteit wil vaststellen kan dat doen (dmv een cryptografische exchange)
zonder dat de door jou gestuurde data in een "replay attack" gebruikt kan worden om ook bij andere partijen jouw identiteit
de bevestigen. Dat moet te doen zijn, dit aspect speelt in zowat alle security protocollen en is daar allang opgelost.
06-06-2023, 10:34 door _R0N_
Door Anoniem:
Door Anoniem: Zorg dan voor wetgeving waarbij niet iedereen om een kopie paspoort vraagt als je een ijsje wilt kopen!
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wie-mag-vragen-naar-mijn-identiteitsbewijs-en-wanneer

Er is wel degelijk wetgeving voor, wordt alleen totaal niet nageleefd.

Wat dacht je van een pakketje ophalen; 'dan moet ik wel uw ID even zien'
Uhhh Nee!

Dat ligt eraan, als het een verzekerde of aangetekend is moet je bewijzen dat jij de eigenlijke ontvanger bent. Ze mogen geen kopie maken van je legitimatie.
06-06-2023, 10:42 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: Zorg dan voor wetgeving waarbij niet iedereen om een kopie paspoort vraagt als je een ijsje wilt kopen!
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wie-mag-vragen-naar-mijn-identiteitsbewijs-en-wanneer

Er is wel degelijk wetgeving voor, wordt alleen totaal niet nageleefd.

Wat dacht je van een pakketje ophalen; 'dan moet ik wel uw ID even zien'
Uhhh Nee!

Dat ligt eraan, als het een verzekerde of aangetekend is moet je bewijzen dat jij de eigenlijke ontvanger bent. Ze mogen geen kopie maken van je legitimatie.

Elk afgifte punt zoals een supermarkt doet dat standaard en zonder blikken of blozen.
06-06-2023, 10:53 door Anoniem
Als de AP nou eens geautomatiseerd gaat scannen op bedrijven en organisaties die vele te veel gegevens vragen. Bv, webshops die je geboorte datum willen. Het zou voor de AP super eenvoudig zijn om hierop geautomatiseerd te handhaven, maar nee, ze leggen de verantwoordelijkheid bij de eindgebruiker die vrijwel machteloos staat.
06-06-2023, 12:12 door Anoniem
Door Anoniem: Als de AP nou eens geautomatiseerd gaat scannen op bedrijven en organisaties die vele te veel gegevens vragen. Bv, webshops die je geboorte datum willen. Het zou voor de AP super eenvoudig zijn om hierop geautomatiseerd te handhaven, maar nee, ze leggen de verantwoordelijkheid bij de eindgebruiker die vrijwel machteloos staat.

Dat wordt dan simpelweg afgedaan met de melding " dat hebben we nodig voor verjaardagsaanbiedingen te kunnen sturen, zoals 10% korting op je verjaardag"...
06-06-2023, 13:20 door Anoniem
Door Anoniem: Ik was in de veronderstelling dat alleen bedrijven als verzekeraars, banken, zorgverleners en de staat mag vragen om een ID.
Maar telekom bedrijven e.d. hebben er een handje van om dat als de normaalste zaak van de wereld te beschouwen.
"Ja meneer sorry ik werk hier ook maar gewoon" en daarmee is het af.
Blijf het bizar vinden hoe dat er in geslopen is en dat er ogenschijnlijk weinig aan gedaan wordt.
Wat ook zeer ernstig is, wanneer je ergens een account wil verwijderen dat doodleuk gevraagd wordt naar een kopie van jouw ID. Wanneer je aangeeft dat dat niet mag dan reageren zij niet meer of met de tekst dan kunnen wij het account niet verwijderen.
Heb nu een probleem bij LeasePlan Bank, moet mij opnieuw identificeren. Helemaal prima, echter hun tool (derde partij buiten de EU) hiervoor werkt simpelweg niet. Daarnaast is het privacy-onvriendelijk, dit door het delen van data of mogelijk persoonsgegevens met derden. De klantenservice reageert simpelweg niet, mail sturen naar de directie zelf zette toch iets in gang. Maar begrepen en opgelost wordt het niet. Het fijne is dat mijn centjes nu bij LeasePlan Bank gegijzeld zijn, je krijgt een pop-up na het inloggen dat je je eerst moet identificeren wil je verder kunnen gaan. (wacht het moment wel af dat zij mij niet meer als klant willen/mogen hebben, dan storten zij vast wel het geld terug)
Zonde, omdat een rekening daar superfijn werkt en handig is. Helemaal je nu iedere transactie afzonderlijk moet bevestigen bij de Rabobank.
06-06-2023, 13:29 door Anoniem
Yivi - zoek het eens op
06-06-2023, 19:18 door Anoniem
Door Anoniem: Dus men wil dat je een stuk software installeert op een apparaat waar je niet zelf de baas bent maar een bedrijf wat leeft van data-graaien, waar de overheid graag CSS op wil hebben draaien om te voorkomen dat je meer data verstrekt dan nodig is. Right.

Dan gebruik je die app niet, en doe je het met het handje.
Er staat nergens dat dan niet mag.

De instructies zijn simpel:
Scan je ID-kaart met je eigen prive-scanner.
Maak onleesbaar wat het ontvangende bedrijf niet nodig heeft, en geef het een watermerk.
(Let erop dat het zwart gemaakte deel, niet alsnog weer leesbaar gemaakt kan worden!)
Sla dit op (print en scan het zonodig opnieuw), en deel het eindresultaat (digitaal of op papier) met de vragende partij.
Einde oefening.


Het is wel opvallend dat de overheid haar apps en andere tools niet platform onafhankelijk maakt, zodat ze bv ook op Linux oid gedraaid kunnen worden. Misschien een leuke kamervraag voor de betreffende minister...
07-06-2023, 09:06 door Anoniem
Bij het aanmelden van uitzendbureau/detachering streep ik de code onderaan het paspoort weg. Word dat gewijgerd omdat ze een onbewerkte foto willen. ( 3 verschillende uitzendbureaus)
07-06-2023, 10:40 door Anoniem
Door Anoniem: Bij het aanmelden van uitzendbureau/detachering streep ik de code onderaan het paspoort weg. Word dat gewijgerd omdat ze een onbewerkte foto willen. ( 3 verschillende uitzendbureaus)
Dat is terecht. Een werkgever moet een compleet ID bewijs hebben. Dat "wegstrepen" kan alleen als je het over andere
doeleinden hebt.
07-06-2023, 15:52 door Anoniem
Door Anoniem: Bij het aanmelden van uitzendbureau/detachering streep ik de code onderaan het paspoort weg. Word dat gewijgerd omdat ze een onbewerkte foto willen. ( 3 verschillende uitzendbureaus)

Simple; De camera iets meer naar boven bewegen, zodat de machineleesbare regel niet op de foto staat.
Dan is de foto "onbewerkt". je kunt hem zelfs in RAW formaat beschikbaar stellen.
Maar dat zullen ze wel niet bedoelen.
08-06-2023, 00:43 door Anoniem
Door Anoniem:
Door Anoniem: Bij het aanmelden van uitzendbureau/detachering streep ik de code onderaan het paspoort weg. Word dat gewijgerd omdat ze een onbewerkte foto willen. ( 3 verschillende uitzendbureaus)
Dat is terecht. Een werkgever moet een compleet ID bewijs hebben. Dat "wegstrepen" kan alleen als je het over andere
doeleinden hebt.

In het verleden heb ik dan gezien hoe ze het opslaan. ( Als jpg op een netwerk lokatie. Zeer waarschijnlijk zonder encryptie) Wat ik heb begrepen is dat werkgevers bijna alles nodig hebben behalve de onderste code. Deze is bedoeld om indentiteit fraude door justitie te controleren. Als de foto copie via een detacherings bureau op straat komt,( en misbruikt) kom ik in juridiesche strijd om mezelf te indentificeren bij het aanvragen van een nieuw pasport/ ID kaart. ( Er zijn voorbeelden van door misdaad verslag gevers en andere journalisten aangekaart)
08-06-2023, 14:46 door Raido
Door Anoniem: Dus men wil dat je een stuk software installeert op een apparaat waar je niet zelf de baas bent maar een bedrijf wat leeft van data-graaien, waar de overheid graag CSS op wil hebben draaien om te voorkomen dat je meer data verstrekt dan nodig is. Right.

Ohja... waarom zou ik überhaupt *iemand* een copie van een ID kaart ofzo sturen?

Ik zou zeggen: stop met digi-drammen en doe weer normaal.
Waarom hebben we überhaupt een ID kaart of paspoort!
10-06-2023, 11:39 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door Anoniem: Zorg dan voor wetgeving waarbij niet iedereen om een kopie paspoort vraagt als je een ijsje wilt kopen!
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wie-mag-vragen-naar-mijn-identiteitsbewijs-en-wanneer

Er is wel degelijk wetgeving voor, wordt alleen totaal niet nageleefd.

Wat dacht je van een pakketje ophalen; 'dan moet ik wel uw ID even zien'
Uhhh Nee!

Dat ligt eraan, als het een verzekerde of aangetekend is moet je bewijzen dat jij de eigenlijke ontvanger bent. Ze mogen geen kopie maken van je legitimatie.

Elk afgifte punt zoals een supermarkt doet dat standaard en zonder blikken of blozen.
(nieuwe anoniem)
Ik heb ooit gevraagd aan een POSTNL afhaalpunt bij een Coöp wat er precies in hun apparaat geregistreerd en vastgelegd werd van mijn ID-kaart. Antwoord: het documentnummer (wat toegestaan is volgens mij).
Waarom deden ze dat? Om diefstal door het personeel te voorkomen.
Ik blijf het een kromme constructie vinden dat je extra data van een pakketontvanger gaat registreren om daarmee een eigen personeelsprobleem op te lossen. Dat heeft namelijk niets meer met het authenticeren van de ontvanger te maken.
12-06-2023, 23:57 door cowboysec
De laatste tijd heb ik nauwelijks gereageerd op "Privacy / Security"-discussies omdat het in mijn ogen langzamerhand een oeverloze discussie is geworden. Links weet niet meer wat rechts roept etc.

Alleen de overheid kan leading zijn, beleid bepalen (in democratische samenspraak volgens vingerende wetgeving uiteraard) en veilige maatregelen treffen en opleggen op het gebied van IDentificatie.

Bijvoorbeeld het gebruik van bovengenoemde KopieID-app.

Draai de zaak gewoon om.

Maak een verbeterde KopieID-app en stel die verplicht voor alle bedrijven die om ID-gegevens vragen en genereer deze met een unieke code zodat altijd teruggekeken kan worden well bedrijf dat die op enig moment heeft gevraagd en met welk doel etc. etc..Alle KopieID-app legitimaties dienen dan geborgd te zijn en noodzakelijk voor (financiele ) transactie bijv. het kopen van een telefoon of het afsluiten van een abonnement.

Ook misbruik van ID-gegevens kan je daarmee aanpakken. Laat alleen maar (financiele) transacties plaatsvinden via deze verbeterde KopieID-app en sta andere vormen niet toe tenzij. Mensen die geen app hebben zullen op een andere manier zich moeten legitimeren. Dit is een verhoogd risico zoals de situatie die we nu hebben. Legitimatie via de verbeterde KopieID-app dient dan geborgd te zijn door de overheid!

Zo moeilijk is het allemaal niet, als de bewindvoerders naar het volk luisteren, uit hun pluche komen, minder discussiëren en eens een stringentere aanpak kiezen. Alleen op die manier kunnen we de criminaliteit reduceren.

Leg sancties op aan bedrijven die er niet aan mee werken. Maar al te vaak worden er moeizame discussies gevoerd over doorstrepen etc. etc.

De markt kan dit allemaal niet aan.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.