Privacy
- Wat niemand over je mag weten
Handtekening zichtbaar mbv Track-and-Trace code PostNL
17-04-2015, 15:44 door Anoniem, 13 reacties
Een paar dagen geleden kwam ik iets heel eigenaardigs tot ontdekking: als je een pakketje van PostNL ontvangt waarvoor een handtekening vereist is, is daarna met behulp van de TrackandTrace code de status te bekijken van de zending. In die status zag ik tot mijn uiterste verbazing, dat daar na aflevering een keurige afdruk van de betreffende handtekening te zien is.
Alhoewel je bij PostNL ook account kunt hebben en dergelijke gegevens aldaar zou kunnen bekijken via inlog + password, hebben ze blijkbaar besloten dat de TrackandTrace voldoende is. Iedereen die beschikt over de TrackandTrace code kan de handtekening bekijken. Omdat deze code dmv gewone mailtjes (ik kreeg ca 3 mailtjes met de code, 1 van de leverancier en 2 van PostNL) verstuurd wordt, kan eigenlijk iedereen die kwaad wil die codes 'afluisteren'. Kan vooral de moeite waard zijn bij mensen of bedrijven die erg vaak paketten bestellen. Buiten dat heeft natuurlijk ook iedereen bij de verzender toegang tot de betreffende codes.
Na mijn klacht hierover bij PostNL kreeg ik een telefoontje van een van de helpdeskmedewerkers die mij probeerde duidelijk te maken, dat de TrackandTracecode dermate uniek is, dat je daarmee 'inlogt' bij PostNL en dat niemand anders dan alleen de ontvanger de handtekening kan zien. Op mijn betoog dat gewone emails helemaal niet veilig zijn en dat de methodiek dus niet correct is, was het antwoord telkens dat ze dit verplicht zijn en dat er dus geen andere mogelijkheid is. Hij vond dat er geen probleem was, het was hoogstens een verschil van mening.
Ik vind het gegeven dat in feite iedereen die over deze code beschikt, mijn handtekening kan zien (en downloaden) een zeer slechte zaak. Is er een instantie waar je het gebeuren als zodanig dit aan zou kunnen kaarten? Ik heb er (gelukkig) nog geen nadeel door ondervonden, dus een juridische strijd lijkt me wat overdreven. Maar het is wel goed, als een ieder die pakketjes van PostNL ontvangt en daarvoor tekent, zich bewust is dat die handtekening op toch niet al te moeilijke manier voor ieder die kwaad wil beschikbaar is.
In een wereld waar er op gehamerd wordt dat je voorzichtig met je persoonlijke gegevens omgaat doet PostNL iets dat daarmee m.i. volkomen in strijd is!Q9hw&n
Alhoewel je bij PostNL ook account kunt hebben en dergelijke gegevens aldaar zou kunnen bekijken via inlog + password, hebben ze blijkbaar besloten dat de TrackandTrace voldoende is. Iedereen die beschikt over de TrackandTrace code kan de handtekening bekijken. Omdat deze code dmv gewone mailtjes (ik kreeg ca 3 mailtjes met de code, 1 van de leverancier en 2 van PostNL) verstuurd wordt, kan eigenlijk iedereen die kwaad wil die codes 'afluisteren'. Kan vooral de moeite waard zijn bij mensen of bedrijven die erg vaak paketten bestellen. Buiten dat heeft natuurlijk ook iedereen bij de verzender toegang tot de betreffende codes.
Na mijn klacht hierover bij PostNL kreeg ik een telefoontje van een van de helpdeskmedewerkers die mij probeerde duidelijk te maken, dat de TrackandTracecode dermate uniek is, dat je daarmee 'inlogt' bij PostNL en dat niemand anders dan alleen de ontvanger de handtekening kan zien. Op mijn betoog dat gewone emails helemaal niet veilig zijn en dat de methodiek dus niet correct is, was het antwoord telkens dat ze dit verplicht zijn en dat er dus geen andere mogelijkheid is. Hij vond dat er geen probleem was, het was hoogstens een verschil van mening.
Ik vind het gegeven dat in feite iedereen die over deze code beschikt, mijn handtekening kan zien (en downloaden) een zeer slechte zaak. Is er een instantie waar je het gebeuren als zodanig dit aan zou kunnen kaarten? Ik heb er (gelukkig) nog geen nadeel door ondervonden, dus een juridische strijd lijkt me wat overdreven. Maar het is wel goed, als een ieder die pakketjes van PostNL ontvangt en daarvoor tekent, zich bewust is dat die handtekening op toch niet al te moeilijke manier voor ieder die kwaad wil beschikbaar is.
In een wereld waar er op gehamerd wordt dat je voorzichtig met je persoonlijke gegevens omgaat doet PostNL iets dat daarmee m.i. volkomen in strijd is!Q9hw&n
Reacties (13)
Misschien is dit een goeie plek:
College bescherming persoonsgegevens
https://cbpweb.nl/
Je kunt ze tippen.
https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons
College bescherming persoonsgegevens
https://cbpweb.nl/
Je kunt ze tippen.
https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons
Hoe moet het dan werken volgens jou?
Een account kun je ook aanmaken als je een track and trace code hebt, dus dat maakt niet veel verschil.
Hoe moet PostNL weten dat jij het bent als je inlogt? Met DIgiD kan niet want dit is geen BSN gerelateerde toepassing.
Je hoeft niet je handtekening te zetten, je mag ook een ander krabbeltje zetten. Het lukt mij zowizo niet om een
toonbare handtekening te zetten op zo'n touch schermpje.
Een account kun je ook aanmaken als je een track and trace code hebt, dus dat maakt niet veel verschil.
Hoe moet PostNL weten dat jij het bent als je inlogt? Met DIgiD kan niet want dit is geen BSN gerelateerde toepassing.
Je hoeft niet je handtekening te zetten, je mag ook een ander krabbeltje zetten. Het lukt mij zowizo niet om een
toonbare handtekening te zetten op zo'n touch schermpje.
Bedankt, heb daar inderdaad een tip (kopie van bovenstaande tekst) ingevuld op het formulier.
Je moet bij dit soort transacties never-nooit je originele handtekening zetten, omdat die digitaal wordt verwerkt/omgezet en je dus nooit weet wat er nog meer mee gebeurt.
Daarom heb ik een soort fake-handtekening ontwikkeld, die ik alleen in die speciale gevallen gebruik. Het eerste gedeelte zal voor mij herkenbaar zijn en de rest verwerk ik de letters van de vragende instantie in, in dit geval pnl in willekeurige volgorde.
Het leuke is, dat die handtekening totaal niet wordt gecontroleerd middels een officieel legitimatie-bewijs o.i.d., dus je kunt er van alles neerkrabbelen.
Daarom heb ik een soort fake-handtekening ontwikkeld, die ik alleen in die speciale gevallen gebruik. Het eerste gedeelte zal voor mij herkenbaar zijn en de rest verwerk ik de letters van de vragende instantie in, in dit geval pnl in willekeurige volgorde.
Het leuke is, dat die handtekening totaal niet wordt gecontroleerd middels een officieel legitimatie-bewijs o.i.d., dus je kunt er van alles neerkrabbelen.
Door Anoniem: Daarom heb ik een soort fake-handtekening ontwikkeld, die ik alleen in die speciale gevallen gebruik. Het eerste gedeelte zal voor mij herkenbaar zijn en de rest verwerk ik de letters van de vragende instantie in, in dit geval pnl in willekeurige volgorde.
Goede tip! Bedankt.
Door pcb_nl: Misschien is dit een goeie plek:
College bescherming persoonsgegevens
https://cbpweb.nl/
Je kunt ze tippen.
https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons
Is een handtekening een persoonsgegeven dan?College bescherming persoonsgegevens
https://cbpweb.nl/
Je kunt ze tippen.
https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons
Lijkt me niet, daar deze niet tot een persoon te herleiden is, noch de garantie biedt dat dat herleiden tot de juiste persoon heeft geleid.
Dat gezegd hebbende, ik teken bij ontvangst (of voor gezien) nooit met mijn "echte" handtekening, maar met een krabbel bestaande uit mijn initialen + datum.
Dat is niet omdat ik bang ben dat iemand er met mijn handtekening vandoor gaat (copyright?), maar omdat er dan nooit onenigheid kan ontstaan over het welles/nietes van het ontvangen van een pakket, document ter inzage, etc. etc.
Hoe moet het dan werken volgens jou? Een account kun je ook aanmaken als je een track and trace code hebt, dus dat maakt niet veel verschil.
De handtekening niet in de online omgeving laten zien, lijkt mij een erg gemakkelijke oplossing. Of zorgen dat mensen een account gebruiken met wachtwoord, waardoor er sprake is van authenticatie. Bij het aanmaken van een account kan je op diverse manieren de identiteit van een persoon controleren (i.e. verificatie via email, sms, post, ...).
Het is echt niet zo moeilijk om een oplossing te verzinnen voor dit probleem, om de risico's te verminderen. Het begint echter wel bij het onderkennen van een probleem ;)
Door Anoniem:
De handtekening niet in de online omgeving laten zien, lijkt mij een erg gemakkelijke oplossing. Of zorgen dat mensen een account gebruiken met wachtwoord, waardoor er sprake is van authenticatie. Bij het aanmaken van een account kan je op diverse manieren de identiteit van een persoon controleren (i.e. verificatie via email, sms, post, ...).
Het is echt niet zo moeilijk om een oplossing te verzinnen voor dit probleem, om de risico's te verminderen. Het begint echter wel bij het onderkennen van een probleem ;)
Het GROTE probleem wordt dan, dat jij *verplicht* persoonsgegevens gaat koppelen aan een adres.Hoe moet het dan werken volgens jou? Een account kun je ook aanmaken als je een track and trace code hebt, dus dat maakt niet veel verschil.
De handtekening niet in de online omgeving laten zien, lijkt mij een erg gemakkelijke oplossing. Of zorgen dat mensen een account gebruiken met wachtwoord, waardoor er sprake is van authenticatie. Bij het aanmaken van een account kan je op diverse manieren de identiteit van een persoon controleren (i.e. verificatie via email, sms, post, ...).
Het is echt niet zo moeilijk om een oplossing te verzinnen voor dit probleem, om de risico's te verminderen. Het begint echter wel bij het onderkennen van een probleem ;)
Ik ontvang toevallig post op meer dan één adres, dan kun je helemaal lachen natuurlijk.
Nee, lijkt me géén goed idee...
- Ik ben meer gesteld op m'n privacy, dan op m'n handtekening.
- Er wordt niet getekend ter identificatie (zoals bij een contract), maar louter voor ontvangst. Het gebruik van een handtekening is dus helemaal niet nodig.
- Nóg een account? Nog meer identificatie? Ben jij Ivo O toevallig, die nu tijd over heeft, en geleerd heeft hoe een kompjoetar werkt?
Door Anoniem:
De handtekening niet in de online omgeving laten zien, lijkt mij een erg gemakkelijke oplossing. Of zorgen dat mensen een account gebruiken met wachtwoord, waardoor er sprake is van authenticatie. Bij het aanmaken van een account kan je op diverse manieren de identiteit van een persoon controleren (i.e. verificatie via email, sms, post, ...).
Hoe moet het dan werken volgens jou? Een account kun je ook aanmaken als je een track and trace code hebt, dus dat maakt niet veel verschil.
De handtekening niet in de online omgeving laten zien, lijkt mij een erg gemakkelijke oplossing. Of zorgen dat mensen een account gebruiken met wachtwoord, waardoor er sprake is van authenticatie. Bij het aanmaken van een account kan je op diverse manieren de identiteit van een persoon controleren (i.e. verificatie via email, sms, post, ...).
Zo werkt het al. Alleen daar was de vraagsteller niet blij mee. Daarom ook mijn vraag hoe het dan moet.
21-04-2015, 18:42 door
Briolet
Door Anoniem: …Iedereen die beschikt over de TrackandTrace code kan de handtekening bekijken…
Alleen de TrackandTrace code is echt niet voldoende, probeer het maar. Je moet ook nog in het bezit zijn van de postcode van de ontvanger.
Verder is zo'n handtekening op een tablet, zo inferieur dat je daar weinig mee kunt doen.
Ik stoor me er meer aan dat als je voor 3 artikelen moet tekenent, je niet eens kunt zien of je echt voor 3 pakjes tekent. Het aantal wordt niet aan de klant getoond. Als de postbode er 1 achter houdt en je effectief voor 4 pakjes getekend hebt, merk je dat niet. Ik moet op het postkantoor echter achter de balie stappen om het ingevulde aantal te kunnen zien op hun scherm.
22-04-2015, 09:17 door
Preddie
Fijn om te zien dat ik niet de enige ben die PostNL wel kan schieten om haar service.
De handtekening is puur en alleen beeldvorming, immers heeft men geen materiaal om de handtekening mee te vergelijken.
Sterker nog, ik liet een pakket bezorgen waarbij duidelijk stond aangegeven "alleen huisadres" dit werd gewoon klakkeloos bij de buren afgegeven en ik kon online de handtekening van de buren inzien ;)
Dit is één van de stapel klachten die ik heb liggen bij PostNL, niet één van de klachten wordt opgelost en als je naar de servicedesk belt kom schijnbaar uit in Marokko, fatsoenlijke Nederlands. En sja, waarom zo een bedrijf als PostNL haar klachten immers oplossen, als ontvangende partij heb je toch niks te kiezen....
De handtekening is puur en alleen beeldvorming, immers heeft men geen materiaal om de handtekening mee te vergelijken.
Sterker nog, ik liet een pakket bezorgen waarbij duidelijk stond aangegeven "alleen huisadres" dit werd gewoon klakkeloos bij de buren afgegeven en ik kon online de handtekening van de buren inzien ;)
Dit is één van de stapel klachten die ik heb liggen bij PostNL, niet één van de klachten wordt opgelost en als je naar de servicedesk belt kom schijnbaar uit in Marokko, fatsoenlijke Nederlands. En sja, waarom zo een bedrijf als PostNL haar klachten immers oplossen, als ontvangende partij heb je toch niks te kiezen....
21-05-2015, 16:58 door
CodeAsm
En toevalling accepteren de meeste bezorgers mijn kruisje als handtekkening.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.