image

NS lekt bankgegevens klanten door menselijke fout

vrijdag 12 februari 2016, 16:59 door Redactie, 13 reacties

De Nederlandse Spoorwegen heeft begin deze maand gegevens van zo'n 5.000 klanten door een menselijke fout naar drie klanten verzonden voor wie dit niet was bestemd. Het ging om betalingsverzoeken met namen, adresgegevens en bankrekeningnummers.

De getroffen klanten zijn inmiddels allemaal ingelicht. Tevens heeft NS een melding bij de Autoriteit Persoonsgegevens gedaan en controlemaatregelen getroffen om herhaling in de toekomst te voorkomen. NS kondigde het datalek vandaag zelf aan. Volgens de vervoerder hebben deskundigen laten weten dat het erg onwaarschijnlijk is dat betrokken klanten "nadelige gevolgen" zullen ondervinden. Klanten die vragen over het incident hebben kunnen NS bellen.

Reacties (13)
12-02-2016, 18:22 door Anoniem
810.000 euro boete, hatseflats.

Neh, zal wel weer met een sisser aflopen...
12-02-2016, 19:26 door [Account Verwijderd]
Elke week lees je er wel een. Ik noem het maar de 'klik... en-dan-is-er-eindelijk-koffie' fout.

Natuurlijk zal ik wel voor reactionair of dinosaurier of fossiel worden uitgemaakt, als ik zeg dat je zo'n Wammes Waggel procedure niet voor elkaar krijgt met papier en envelopjes.
Degenen die motiveren dat snail-mail uit de middeleeuwen stamt moeten dan maar eens helder uitleggen dat je zo'n fout uiteraard ook onopgemerkt/onbewust maakt als je een pak A4 papier zo dik als een telefoonboek tracht in een enveloppe te proppen en dan drie van dergelijke halve bomen adresseert, frankeert en per steekwagen naar het postagentschap rolt.
Maak dat effe de kat wijs ja!

Is er een work-around om dergelijke fouten te voorkomen?
Ik denk wel.
Iedereen kent het wel: bijvoorbeeld een email met de afsluiting: Met hatelijke groet. Na de klik op 'verzend' is het onherroepelijk. Nu is dat slechts vervelend, je stuurt er een excuus voor de typefout achteraan, maar in het geval van het bovenstaande voorbeeld 'zwaar klote'.

Daarom vraag ik me vaak af waarom bijvoorbeeld MS-Outlook niet van standaard dialoogvensters wordt voorzien met een cancel of ok knop waarin een samenvatting van de beoogde actie wordt getoond. In bovenstaand geval lees je dan eerst: "weet u zeker dat u 5000 attachments wilt versturen naar PietjePuk@nonsense.nl"
12-02-2016, 21:14 door Mozes.Kriebel
Door Aha: Daarom vraag ik me vaak af waarom bijvoorbeeld MS-Outlook niet van standaard dialoogvensters wordt voorzien met een cancel of ok knop waarin een samenvatting van de beoogde actie wordt getoond. In bovenstaand geval lees je dan eerst: "weet u zeker dat u 5000 attachments wilt versturen naar PietjePuk@nonsense.nl"
En dan voorzien van een dansend paperclipje om het op te leuken...

Sorry hoor, waar gehakt wordt vallen spaanders, maar bovenstaande issue heeft volgens mij meer met ander omstandigheden te maken. Het is in ieder geval een aardige testcase voor de Wet Datalekken.
12-02-2016, 22:36 door Anoniem
Het schreinendst is het gedrag van de woordvoerders die het gebeuren alsnog proberen weg te wimpelen door er nog een stelling doorheen te gooien dat het onwaarschijnlijk is dat de 5000 personen nadelige gevolgen zullen ondervinden. Dat leed is immers al geschied: het nadelige gevolg is letterlijk het onzorgvuldig omgaan met andermans persoonsgegevens waardoor 5000 personen x3 geen enkele controle hebben over wat er met hun gegevens gaat gebeuren. En die gegevens staan vast allemaal op Nederlandse/Europese mailservers? En hoe vaak stuurde de NS al van duizenden klanten hun persoonsgegevens voor betaling per mail rond, geheel onbeveiligd? Ik zou me als NS heel erg diep gaan schamen voor dit 'menselijk' foutje. Maar helaas is de NS hier niet de eerste en niet de laatst om geen volledige mea culpa te doen en heel helder te zijn dat ze er geen controle over hebben wat er verder met die verzonden persoonsgegevens is gebeurt of zal gebeuren.
13-02-2016, 00:13 door Briolet
Door Aha: …Is er een work-around om dergelijke fouten te voorkomen?
Ik denk wel.…

…Daarom vraag ik me vaak af waarom bijvoorbeeld MS-Outlook niet van standaard dialoogvensters wordt voorzien met een cancel of ok knop waarin een samenvatting van de beoogde actie wordt getoond. …

Zoiets klinkt leuk, maar werkt niet. Zelfs de meest serieuze verzender zal na 1000 x dit alles nogmaals gecontroleerd te hebben, ook weer ongelezen de OK knop indrukken bij de bevestiging.
Als je dit automatisme wilt doorbreken, moet je de controle door een 2e persoon laten doen. Dus belangrijke mailtjes gaan niet direct naar buiten maar belanden bij een tweede persoon.

----

Maar ook vòòr het e-mail tijdperk ging het mis. Wij hebben wel eens de boekhouding van een onbekend bedrijf of een medisch rapport van een niet bekende arts op onze fax gehad. Daar was het waarschijnlijk een tikfout in het faxnummer, Wij hebben nog een faxnummer uit het eerste uur van de fax, toen er nog speciale nummerreeksen voor de fax waren, zodat één cijfer verkeerd op het eind, meestal ook een geldig faxnummer geeft.
Idem voor horeca bestellingen van kroegen in de omgeving die op onze fax binnenkwamen (en nog jaarlijks binnenkomen)

Waar gehakt wordt, vallen spaanders. Je kunt menselijke fouten verminderen, maar nooit 100% uitbannen.
13-02-2016, 07:35 door Anoniem
De kern van het probleem is dat de NS bankgegevens heeft.
Kaartje gewoon aan het loket halen en cash betalen. Dat heeft nog nooit van dit soort gedoe opgeleverd.
13-02-2016, 08:53 door Anoniem
Door Aha: Natuurlijk zal ik wel voor reactionair of dinosaurier of fossiel worden uitgemaakt, als ik zeg dat je zo'n Wammes Waggel procedure niet voor elkaar krijgt met papier en envelopjes.
Eerste zin uit het NS-bericht (nadruk door mij toegevoegd):
Begin februari heeft NS - door een menselijke fout - een brief met betalingsverzoeken verkeerd verzonden.
Daar staat brief, niet e-mail. Dat suggereert dat ze het wel degelijk met papier en envelopjes voor elkaar hebben gekregen. Dat kan ook heel goed, want brieven automatisch genereren, afdrukken, vouwen en in enveloppen stoppen kan al decennia. Ook daar kunnen kleine foutjes door automatisering grootschalige gevolgen hebben.

Maar NS schrijft ook:
We hebben contact opgenomen met de drie personen bij wie de betalingsverzoeken terecht zijn gekomen. Ze zijn gevraagd de gegevens te vernietigen.
Als het papieren post is vind ik het heel knullig en nalatig om niet iemand langs te sturen om de enveloppen weer op te halen. Dan weet je nog veel zekerder dat ze vernietigd worden en het is ook niet bepaald netjes om drie klanten op te zadelen met het verniegigen van vijfduizend brieven. Wordt met "brief" misschien toch e-mail bedoeld?

Daarom vraag ik me vaak af waarom bijvoorbeeld MS-Outlook niet van standaard dialoogvensters wordt voorzien met een cancel of ok knop waarin een samenvatting van de beoogde actie wordt getoond. In bovenstaand geval lees je dan eerst: "weet u zeker dat u 5000 attachments wilt versturen naar PietjePuk@nonsense.nl"
Je lijkt automatisering te zien als kantoorautomatisering met GUI-tools op desktopcomputers. Al voor die waren uitgevonden was het mogelijk om op centrale systemen dit soort dingen af te handelen zonder dit soort menselijke interactie. Als het tijd wordt om rekeningen te sturen genereert het systeem volautomatisch facturen. Betalingen worden volautomatisch verwerkt. Als betalingen te laat zijn worden volautomatisch herinneringen aangemaakt. Er is geen enkele reden waarom in een bedrijf van enige omvang iemand bij zo'n proces in een pakket als Outlook iets zou moeten doen, de enige desktopcomputer waar dit terecht hoort te komen is die van de klant.

Een menselijke fout in zo'n opzet kan een een bug zijn die een computerprogrammeur introduceert bij een aanpassing in de software, of een handelingsfout van een systeembeheerder of operator waardoor bijvoorbeeld een proces met verkeerde data draait, wat misschien weer een nooit eerder geraakte en nog onbekende bug triggert die 5000 berichten aan 3 personen produceert in plaats van op inconsistente data stuk te lopen. Ik weet niet hoe het bij NS allemaal is ingericht, maar dit soort dingen is mogelijk, en daar helpt een bevestigings-popup in Outlook echt niet tegen.
13-02-2016, 15:25 door Anoniem

Als je dit automatisme wilt doorbreken, moet je de controle door een 2e persoon laten doen. Dus belangrijke mailtjes gaan niet direct naar buiten maar belanden bij een tweede persoon.
Ook het 2e persoon zal in een automatisme geraken.
13-02-2016, 17:30 door Anoniem
Door Anoniem:
Kaartje gewoon aan het loket halen en cash betalen. Dat heeft nog nooit van dit soort gedoe opgeleverd.
Afgezien lange rijden voor het loket.
Overval gevaar ivm het vele contact geld.
Extra personeel wat nodig is, dus extra kosten.
Allemaal extra handmatig werk, dus fout gevoeliger....

Geeft mij toch echt maar het digitale tijdperk....
13-02-2016, 17:52 door Anoniem
Menselijke fouten met persoonsgegevens zijn ook fouten. Rookworst zonder R is ook worst.
13-02-2016, 22:12 door Anoniem
Door Anoniem: 810.000 euro boete, hatseflats.

Neh, zal wel weer met een sisser aflopen...
Je kunt alleen een boete krijgen voor niet-melden of voor een slechte beveiliging. Niet voor het datalek zelf.
15-02-2016, 09:23 door Anoniem
Door Aha:
Degenen die motiveren dat snail-mail uit de middeleeuwen stamt moeten dan maar eens helder uitleggen dat je zo'n fout uiteraard ook onopgemerkt/onbewust maakt als je een pak A4 papier zo dik als een telefoonboek tracht in een enveloppe te proppen en dan drie van dergelijke halve bomen adresseert, frankeert en per steekwagen naar het postagentschap rolt.
Maak dat effe de kat wijs ja!
Het is inderdaad onwaarschijnlijk dat je de gegevens van 5000 klanten in een envelop propt, maar papieren post is ook aan menselijke fouten onderhevig. Ik heb bijvoorbeeld een jaar of twee terug van de Rabobank de gegevens van iemand anders in de brievenbus gekregen. Ik wilde zelf een rekening openen, en kreeg mijn overeenkomst opgestuurd, maar dus ook die van iemand anders. Ik vermoed dat iemand die te weinig koffie op had het verkeerde stapeltje uit de printer heeft gepakt. De los geprinte begeleidende brief met mijn adres er bovenop, envelopje dicht, datalek klaar.
16-02-2016, 15:04 door Anoniem
Door Anoniem:
Door Aha:
Degenen die motiveren dat snail-mail uit de middeleeuwen stamt moeten dan maar eens helder uitleggen dat je zo'n fout uiteraard ook onopgemerkt/onbewust maakt als je een pak A4 papier zo dik als een telefoonboek tracht in een enveloppe te proppen en dan drie van dergelijke halve bomen adresseert, frankeert en per steekwagen naar het postagentschap rolt.
Maak dat effe de kat wijs ja!
Het is inderdaad onwaarschijnlijk dat je de gegevens van 5000 klanten in een envelop propt, maar papieren post is ook aan menselijke fouten onderhevig. Ik heb bijvoorbeeld een jaar of twee terug van de Rabobank de gegevens van iemand anders in de brievenbus gekregen. Ik wilde zelf een rekening openen, en kreeg mijn overeenkomst opgestuurd, maar dus ook die van iemand anders. Ik vermoed dat iemand die te weinig koffie op had het verkeerde stapeltje uit de printer heeft gepakt. De los geprinte begeleidende brief met mijn adres er bovenop, envelopje dicht, datalek klaar.

Ik gok dat de Rabobank waarschijnlijk geen menselijke fout geweest is. Bij bedrijven, die veel post versturen, hebben apparaten die brieven uitprinten en dan zelf in een envelop stoppen. Het komt dan af en toe voor dat vellen aan elkaar plakken en dat er daardoor 2 vellen in 1 envelop gaan i.p.v. 1 vel in 1 envelop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.