En dat is dus hoe het NIET moet... :/

Zelfs als je geen datavernietiging kan betalen, een simpele DD of shred commando had dit kunnen voorkomen...
Waarom zijn deze schijven niet gewist voordat ze het gebouw hadden verlaten?
Als dit door het ICT bedrijf zelf gedaan is, dan is dit nalatigheid.
Is het door een of andere faillissement instantie gedaan, dan hebben die niet procedures gevolgd.

Merkwaardig toch hè, dat professionele organisaties niet met ICT kunnen omgaan.

Laatst nog heb ik een oude laptop naar het stort gebracht, maar eerst heb ik de harde schijf uit de laptop verwijderd en vervolgens fysiek vernietigd. Maar kennelijk begrijpen sommige organisaties dit niet en moeten wij keer op keer met dit soort berichtgeving geconfronteerd worden.

Er moet een sterke financiële prikkel komen om dit soort schadelijk gehannes tegen te gaan. Begin maar met het vaststellen van globale schadebedragen en het omschrijven van randvoorwaarden voor aansprakelijkheid. En dan eerder aansturen op schadeloosstelling (of noem het smartegeld) voor de slachtoffers dan op boetes.

Een paar van zulke "incidentele foutjes" en de medische gegevens van heel Nederland liggen op straat.

Ik kom het vooral tegen bij bedrijven die failliet zijn gegaan of huisarts die gestopt is. Als er al processen voor bestonden, vallen ze erbuiten. De curator of executeur heeft geen belang bij veilige vernietiging. Dat kost geld en doelstelling is juist zoveel mogelijk geld uit de organisatie te halen. Privacy verplichting ligt/lag bij de originele instantie.

In de jaren '00 werkte ik bij de kringloop. Daar maakte ik van een paar ouwe PC's weer één en die ging de winkel in. Je wil niet weten wat ik daar in de loop van een jaar of 3 tegen ben gekomen. Ouwe computers van buro halt, notarissen, deurwaarders waren allemaal unencrypted. Laat staan van de mensen zelf met hun BOEKHOUD.123. Sommige waren slim en deden format c:. Maar als ze de /u waren vergeten boeide mij dat ook al niets. FAT16 en FAT32 was heel dankbaar wat dat betreft en Norton Unformat je vriend...

Ik kocht op Marktplaats pas geleden een set laptopschijven. Die "beste systeembeheerder van het hele universum met X jaar ervaring" deed alles met ExtFAT formateren en vond dat een veilig idee. Ik neem aan dat ik niet hoef op te schrijven wat ik daar allemaal op aantrof. Toen ik 'm daarop wees en vertelde dat zijn geheimen safe waren met mij, kreeg ik nog een grote waffel ook.

Als ik toen kwaad had gewild, was ik nu millionair geweest.


Maar goed, er zijn daadwerkelijk nog mensen met fatsoen. Blijkbaar ben ik er daar een van...

Tja, makkelijk praten. De mensen die verantwoordelijk waren voor het shredden van de HDD's, waren waarschijnlijk al een tijd lang hun baan niet zeker. Tegen de tijd dat zeker is dat de schijven gewist kunnen worden, zijn die mensen hun baan al kwijt. Je zou kunnen zeggen dat de verantwoordelijkheid dan wordt overgedragen naar de curator, maar die zal liever geld ontvangen voor de schijven (verkoop), dan betalen voor het professioneel wissen.

Om deze reden alleen al is het dus verstandig om gevoelige data te allen tijde versleuteld op te slaan.

"De gevonden medische gegevens [...] zijn afkomstig van een inmiddels opgeheven ict-bedrijf uit Breda."

Van een kale kip kun je niets plukken.
Waar wil je dat "smartegeld" vandaan toveren?

Bij de verantwoordelijke voor het gegevenslek, meneer/mevrouw de curator persoonlijk.

Omroep Brabant meldt dat de schijven zijn opgedoken op een rommelmarkt bij vliegveld Weelde, net over de Belgische grens. Omroep Brabant noemt ook de naam van het bedrijf, en als je op die naam zoekt bij de KvK, en ook vervallen inschrijvingen opvraagt, dan komt de naam vier keer voor op hetzelfde adres in Hoogstraten, ook net over de Belgische grens, zo'n 15 km van dat vliegveld vandaan. Het zijn een vervallen eenmanszaak in ICT die zich, jawel, op eerstelijns gezondheidszorg richtte, twee BV's en een administratiekantoor dat een stichting is, de laatste drie zijn actieve inschrijvingen. Dat staat bij de Nederlandse KvK, voor alle duidelijkheid.

Ik denk dat de kans groot is dat de ICT'er uit Breda naar België is verhuisd, en het opgeheven bedrijf moet nog actief zijn geweest op het moment van die verhuizing (mijn vroegere eenmanszaak verhuisde automatisch met me mee toen die nog actief was, en niet toen ik na de opheffing ervan nog een keer verhuisde). Of die figuur zelf bij het opruimen van de oude troep die schijven zonder ze op te schonen aan een rommelhandelaar heeft meegegeven of dat dat na een faillissement door de curator is gedaan weet ik niet.

Ik snap dat een ICT'er die data nodig heeft om een systeem te kunnen bouwen dat ermee moet werken, en ook dat een medische instelling geen testdata klaar heeft staan waarin alle denkbare onregelmatigheden en moeilijke gevallen voorkomen. Ik zou me in die positie wel uiterst ongemakkelijk voelen als ik dat soort gegevens gewoon mee zou krijgen, het is nogal een verantwoordelijkheid. Was dat contractueel goed ingedekt door de medische instelling? Was de ICT'er ingericht om aan de AVG-eisen voor bijzondere persoonsgegevens te voldoen? Als die dat op papier was dan toont wat mij betreft het hebben van die gegevens op onversleutelde schijven aan dat die in ieder geval in de praktijk tekortschoot.

Als het inderdaad via een faillissement en een curator is gegaan: ik ben ooit eerder tegengekomen dat curatoren nogal eens slordig met de AVG om zouden springen, omdat ze zich richten op zo veel mogelijk van het geld waar de schuldeisers recht op hebben nog te pakken te krijgen (dat is hun opdracht) en daarbij niet zitten te wachten op de kosten van alle data zorgvuldig doorpluizen om te zien of die wel te koop gezet mag worden. Maar je kan niet voor het gemak doen alsof de AVG niet geldt. Curatoren zouden wat mij betreft beter moeten weten, dat zijn juristen.

Er zullen altijd mensen zijn die zo met data omgaan, inclusief medische data.
Net zoals er altijd dieven en inbrekers zullen zijn.
Het enige wat daar voor een deel tegen helpt is dataminimalisatie, decentrale opslag en decentrale toegang.
Dan is de schade minder groot als het gebeurt.
Is geen kwestie van of, maar van wanneer.

Wat ik het meest kwalijke vind is dat ik dit hier moet lezen en niet mega groot op nieuwssites. Nee, de nieuws sites hebben het lieverd over Musk dan dit soort grote datalekken. Behalve als dit in USA was gebeurd dan had het wel groot gestaan. Jammer, gemiste kans want juist dit soort berichten moeten mensen en bedrijven lezen.

Er is geen voorschrift hoe je met oude computers moet omgaan. De gewone gebruiker brengt ze naar de stort en je bent ervan af.
Werk je bij de (Engelse) stort, dan kan je zomaar eens een schijfje met €730 miljoen aan bitcoins vinden.

Om de een of andere reden vind je nooit de ladekast met papieren dossiers op een rommelmarkt.
Mooi man, dat EPD. What could possibly go wrong?!

Mee eens! Dat vind ik nou ook!

Ja, gelukkig deugen de meeste mensen. Het is ook niet altijd onwil, vaak ook onkunde.
Mensen denken vaak niet na over tijdelijkheid van gegevens. Ze zijn eerder bang voor straf achteraf, wanneer blijkt dat ze iets te veel zouden hebben gewist. En dan trekt bij een faillisement de laatste ICT-medewerker de deur achter zich dicht en blijven alle gegevens op de schijf, curator er overheen en daar is je datalek, en niemand die daar verantwoordelijk voor is. Gouden handel. (Nee, dat meen ik niet echt, dat is sarcarsme.)

Dat ICT bedrijf of de curator was dus niet professioneel.

Een man uit Wales die in 2013 een harde schijf kwijtraakte met daarop een fortuin aan bitcoins, overweegt nu [d.d. 10 februari 2025] de vuilstortplaats in zijn gemeente op te kopen. De man wil de stortplaats doorzoeken, omdat hij ervan overtuigd is dat zijn harde schijf tussen het afval ligt. Er stonden destijds volgens hem 8000 bitcoins op.

https://nos.nl/artikel/2555326-welshman-wil-vuilnisbelt-opkopen-op-zoek-naar-bitcoinfortuin

De gemeente is van mening dat de harde schijf gemeentelijk eigendom is geworden toen deze op de vuilstort kwam.

Nadat Omroep Brabant het publiceerde namen de NOS en andere grote nieuwskanalen, zoals Talpa, het dadelijk over.


https://nos.nl/artikel/2556371-harde-schijven-met-medische-gegevens-gevonden-op-rommelmarkt

Na zijn ontdekking besloot hij snel terug te gaan naar de rommelmarkt, om de andere tien harde schijven ook te kopen.