image

Energiedata 2 miljoen Nederlandse huishoudens gestolen

dinsdag 13 september 2016, 18:31 door Redactie, 20 reacties

Een medewerker van een energieleverancier heeft de energiedata van 2 miljoen Nederlandse huishoudens gestolen, zo hebben Netbeheer Nederland en Energie-Nederland vandaag bekendgemaakt. Het gaat om gegevens van het energiecontract zoals het jaarverbruik, type aansluiting en de einddatum van de contracten. Deze data staan geregistreerd in een centraal register.

Werknemers van energieleveranciers kunnen bij dit register gegevens opvragen. In dit geval zijn gegevens van klanten van meerdere energieleveranciers opgevraagd. Inmiddels is het voor de betrokken energieleverancier niet langer mogelijk om gegevens uit het systeem te halen waar ze geen recht toe heeft. Volgens de energieleverancier in kwestie is de diefstal het werk van één medewerker die inmiddels niet meer voor het bedrijf werkzaam is.

De data kan mogelijk worden gebruikt om ongevraagde productaanbiedingen, zoals energiecontracten, per post te doen. Volgens Netbeheer Nederland en Energie-Nederland is het voor het eerst dat gegevens over energiecontracten van klanten op deze schaal zijn gestolen. De diefstal van de gegevens kwam aan het licht bij de monitoring van de centrale registers door de netbeheerders. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld.

Reacties (20)
13-09-2016, 18:48 door karma4
Niet voor het eerst als je de financiële wereld ook meeneemt.
13-09-2016, 18:54 door Anoniem
Dit kon dus omdat er te veel rechten was toegekend aan de energie leverancier. Met andere woorden, een menselijke fout!

Dit maakt pijnlijk duidelijk waarom het verzamelen van allerlei data (slimme-meter) niet verstandig is. Want wie controleert wie waar bij mag en kan? En wie controleert die dan weer.... etc?

Oplossing is gewoon stoppen met het verzamelen van data!

TheYOSH
13-09-2016, 18:58 door Anoniem
Goh..
13-09-2016, 19:45 door Anoniem
Het vervelende is dat gegevensbescherming nog steeds tombstone technology is. Alle toezeggingen inclusief dat wie niets te verbergen heeft, niets te vrezen heeft ten spijt is het nog steeds zo dat er eerst mensen geKowsolea'd moeten worden voor voor de hand liggende verbeteringen worden doorgevoerd.

Ten dele is dit de wrange erfenis van het 'Je hebt toch niets te verbergen?' refrein, een waar we de eerste paar decennia nog mee te maken zullen hebben...
13-09-2016, 20:07 door Anoniem
wil je weten waar jouw gegevens bekend zijn? http://www.xipio.nl/nieuws/waar-zijn-jouw-gegevens-bekend/
13-09-2016, 20:53 door [Account Verwijderd] - Bijgewerkt: 13-09-2016, 20:55
[Verwijderd]
13-09-2016, 21:20 door Erik van Straten
13-09-2016, 18:54 door Anoniem: [...]
Dit maakt pijnlijk duidelijk waarom het verzamelen van allerlei data (slimme-meter) niet verstandig is.
Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn.

13-09-2016, 18:54 door Anoniem: [...]
Oplossing is gewoon stoppen met het verzamelen van data!
Dat kan in veel gevallen niet, maar er moet niet meer data verzameld worden dan noodzakelijk. Doen organisaties dat toch, en wordt data gelekt, dan horen daar wat mij betreft stevige straffen bij.

Data-hoarding is nu veel te lucratief terwijl de risico's (voor de hoarders, over de ruggen van -in dit geval notabene betalende- klanten) nagenoeg nul zijn.
13-09-2016, 21:29 door karma4
Door Anoniem: (1) Dit kon dus omdat er te veel rechten was toegekend ...(knip)...
(2) Oplossing is gewoon stoppen met het verzamelen van data!
TheYOSH
Het eerste klopt. Het probleem is dat het behoorlijk inrichten van een data governance met de adequate security geen prioriteit heeft totdat .... Het pro actief goed inrichten wordt als te lastig en veel te duur gezien.

Het tweede in niet haalbaar. je kunt ook stellen dar de verlichting en industrialisatie nooit hadden mogen plaatsvinden. Terug naar de middeleeuwen. Behalve ongezond (lage levensverwachting) ook geen enkele privacy.
Alleen als je al je IT apparatuur zelf de deur uit doet ben je consistent om geen dataverzameling te willen.
Er zijn niet enkel negatieve zaken met het leren uit data er zijn ook vele positieve kanten. Probeer het leven van nu maar eens te vergelijken met pak weg 250 jaar terug. (ca 10 generaties)

De oplossingspaden die ik zie:
- maak het inrichten van een behoorlijke adequate security eenvoudig. Te starten met begrijpelijk voor de beslissers.
Kom op met de ideeën en voorstellen security specialisten
- Stel voorbeelden met beslissers hoofdelijk aansprakelijk te stellen bij opzettelijk acties dit tot data lekken geleid hebben.
13-09-2016, 21:52 door karma4
Door Erik van Straten: Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn..

Dat staat er hier voor de betrokken gegevens niet.
Het gaat om de jaarverbruik en de contracten. Dat is financieel interessant als ze je zouden mogen benaderen.
Tenzij je vele maanden / jaren (sabbatical) van huis bent kun je daarmee niet zien of je nu thuis bent ja/nee.
In geval van een sabattical zal er veel informatie zijn die dat aangeeft.
Als we een oordeel over big data processen geven moeten we er wel in thuis zijn en de vrijgekomen informatie begrijpen. Als we dat niet doen zijn we enkel met fud en angsten bezig.

Voor je gaat stomen. In mijn eerste reactie zie je dat in de basis gelijkgestemd zijn. We zien beide mogelijk te veel wat er n de praktijk gebeurt en waar het rammelt.
13-09-2016, 22:15 door [Account Verwijderd]
Door karma4:
Door Erik van Straten: Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn..

Dat staat er hier voor de betrokken gegevens niet.
Het gaat om de jaarverbruik en de contracten. Dat is financieel interessant als ze je zouden mogen benaderen.
Tenzij je vele maanden / jaren (sabbatical) van huis bent kun je daarmee niet zien of je nu thuis bent ja/nee.
In geval van een sabattical zal er veel informatie zijn die dat aangeeft.
Als we een oordeel over big data processen geven moeten we er wel in thuis zijn en de vrijgekomen informatie begrijpen. Als we dat niet doen zijn we enkel met fud en angsten bezig.

Voor je gaat stomen. In mijn eerste reactie zie je dat in de basis gelijkgestemd zijn. We zien beide mogelijk te veel wat er n de praktijk gebeurt en waar het rammelt.

In dit geval niet nee maar het is natuurlijk wel prima mogelijk als een insider gegevens kan lekken op zo'n manier.

Ik ben het met Karma eens dat security procedures beter moeten omdat het stoppen van het verzamelen van klant gegevens niet zal gebeuren. Het mag gewoon niet op straat kunnen belanden door procedurele fouten.
14-09-2016, 00:46 door Anoniem
Het is voor het eerst dat gegevens over energiecontracten van klanten op deze schaal zijn gestolen.
Opvallende formulering. Daar staat dus niet dat dit de eerste keer is dat gegevens uit het systeem zijn gestolen. Hier mag je haast concluderen dat men niet weet of dit de eerste keer is of dat er al eerder gegevens zijn gestolen. Beide situaties stellen niet gerust wat betreft de beveiliging van persoonsgegevens van een paar miljoen Nederlanders. Bij het stelen van gegevens gaat het in eerste instantie niet om de schaal maar dat er gestolen kan worden en gestolen is. Ieder voorval is al strafbaar.

Als dit niet de eerste keer blijkt dat persoonsgegevens zijn gestolen dan had Netbeheer Nederland aan mogen nemen dat de bescherming van de gegevens niet passend was. Er lijkt niets aangepast die de diefstal(len) erna onmogelijk maakte en dus is de bescherming (nog steeds) niet passend. Het niet passend beschermen van persoonsgegevens is strafbaar onder dezelde wet bescherming persoonsgegevens die ongeoorloofde verwerken van persoonsgegevens strafbaar stelt.

Het gaat om gegevens van het energiecontract zoals het jaarverbruik, type aansluiting en de einddatum van de contracten
Zoals. Zoals gebruik je als je een selectie maakt. Kennelijk vinden ze het bij Netbeheer Nederland niet relevant om precies aan te geven welke gegevens er gestolen zijn. Maar daarmee weten 2 miljoen huishoudens dus niet welke gegevens er precies van ze gestolen zijn. Het voorbeeld dat de gegevens misbruikt kunnen worden om per post een aanbieding te doen wekt daarnaast ook nog de indruk dat er ook adresgegeven bekend zijn. Waarom is Netbeheer Nederland niet gewoon open over de gegevens die gestolen zijn en gebruiken ze zinnen die sturend antwoord geven waar 2 miljoen huishoudens zich om mogen bekommeren.

"Het is onacceptabel dat deze persoonsgegevens op deze manier zijn opgevraagd", benadrukt directeur André Jurjus van Netbeheer Nederland.
Het is ook onacceptabel dat André Jurjus met zijn Netbeheer Nederland geen verantwoordelijkheid neemt om miljoenen persoonsgegevens effectief te beschermen tegen ongeoorloofde inzage en massale diefstal door de bedrijven aan wie ze die toegang vergeven. Wat Netbeheer Nederland doet is die verantwoordelijkheid afschuiven op de bedrijven die u bewust de mogelijkheid geeft om vrij al die persoonsgegevens in te zien. In de contracten is mogelijk fraai juridisch met handtekeningen afgedekt dat niet Netbeheer Nederland maar die aangesloten bedrijven de verantwoordelijkheid nemen om alleen in persoonsgegevens bij Netbeheer Nederland te kijken waar ze recht op hebben.Practisch heeft dat geen enkele bescherming tegen ongeoorloofde inzage en is ook geen aanvulling op de wettelijke verplichtingen die voortvloeien uit de Wbp. Daar is niet alleen voor gewaarschuwd maar nu ook weer bewezen dat een juridische overeenkomst misbruik niet voorkomt. Net als dat de wet niet voorkomt dat de wet niet zal worden overtreden. Het geeft alleen Netbeheer Nederland meer juridisch armslag om achteraf, als het veel te laat is, sterker in een juridisch gevecht te staan. Daar hebben die miljoenen huishoudens geheel niets aan nu de persoonsgegevens zijn gestolen. Het maakt de diefstal niet ongedaan, het neemt de mogelijkheid tot misbruik niet afdoende weg en doet geheel geen recht aan de bescherming die uit moet gaan van de Wbp. Als het te laat is, dan ontneemt Netbeheer Nederland pas rechten. Dat is geen bescherming maar misplaatste machtsvertoon die niets minder mogelijk maakt dan juridisch al was overeengekomen. Een maatregel die waar Netbeheer Nederland wettelijk zelf al had moeten doorvoeren bij dit bedrijf EN alle andere bedrijven die in hun database met persoonsgegevens kunnen graaien.

Zou André Jurjus of Netbeheer Nederland het een goed idee vinden om een bedrijfsmodel te voeren waarbij bedrijven met een simpele handtekening plechtig beloven geen misbruik van de situatie te maken dat ze de huissleutel van alle medewerkers van Netbeheer Nederland bij de deal krijgen om uit te delen onder hun personeel? Als er een handtekening op papier staat dan zijn die huishoudens toch prima beschermt.
14-09-2016, 06:41 door Anoniem
Op elk adres wordt energie afgenomen. Het enige wat de bezitter van de lijst extra heeft is een naam bij een adres.
14-09-2016, 08:28 door Anoniem
En weer zo'n actie waarin wij burgers onvoldoende worden geïnformeerd. En wie houd tegen weer een overheid instantie.
De gehele privacy wetgeving kan mij betreft de vuilnisbak in.
14-09-2016, 09:31 door devias
Door Anoniem: Op elk adres wordt energie afgenomen. Het enige wat de bezitter van de lijst extra heeft is een naam bij een adres.
En niet zomaar een naam/adres combo. Je weet zeker dat deze klopt. Dat is bij veel marketing databases die gejat worden wel anders.
14-09-2016, 10:03 door Anoniem
Door Erik van Straten:
13-09-2016, 18:54 door Anoniem: [...]
Dit maakt pijnlijk duidelijk waarom het verzamelen van allerlei data (slimme-meter) niet verstandig is.
Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn.

13-09-2016, 18:54 door Anoniem: [...]
Oplossing is gewoon stoppen met het verzamelen van data!
Dat kan in veel gevallen niet, maar er moet niet meer data verzameld worden dan noodzakelijk. Doen organisaties dat toch, en wordt data gelekt, dan horen daar wat mij betreft stevige straffen bij.

Data-hoarding is nu veel te lucratief terwijl de risico's (voor de hoarders, over de ruggen van -in dit geval notabene betalende- klanten) nagenoeg nul zijn.


De netbeheerders zijn aan strenge privacyregels gebonden omtrent slimme meters.

De meterstanden mogen wettelijk slechts in vier gevallen worden uitgelezen:

- één keer per jaar voor uw jaarafrekening,
- zes keer per jaar (om de twee maanden) voor het tweemaandelijkse verbruik- en kostenoverzicht,
- als u overstapt naar een ander energiebedrijf of als u verhuist,
- incidenteel wanneer dat nodig is voor het beheer of onderhoud van het energienet.

Vaker wordt de slimme meter niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven. Bijvoorbeeld voor een Energieverbruiksmanager. Wordt uw slimme meter uitgelezen voor noodzakelijk beheer van het energienet? Dan zal uw netbeheerder u hierover informeren volgens de Wet Bescherming Persoonsgegevens.
14-09-2016, 11:41 door Erik van Straten
14-09-2016, 10:03 door Anoniem:
Door Erik van Straten:
13-09-2016, 18:54 door Anoniem: [...]
Dit maakt pijnlijk duidelijk waarom het verzamelen van allerlei data (slimme-meter) niet verstandig is.
Exact. Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn.

De netbeheerders zijn aan strenge privacyregels gebonden omtrent slimme meters.

De meterstanden mogen wettelijk slechts in vier gevallen worden uitgelezen:

- één keer per jaar voor uw jaarafrekening,
- zes keer per jaar (om de twee maanden) voor het tweemaandelijkse verbruik- en kostenoverzicht,
- als u overstapt naar een ander energiebedrijf of als u verhuist,
- incidenteel wanneer dat nodig is voor het beheer of onderhoud van het energienet.

Vaker wordt de slimme meter niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven. Bijvoorbeeld voor een Energieverbruiksmanager. Wordt uw slimme meter uitgelezen voor noodzakelijk beheer van het energienet? Dan zal uw netbeheerder u hierover informeren volgens de Wet Bescherming Persoonsgegevens.

Uit https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2014/04/07/beantwoording-vragen-ontwerpbesluit-grootschalige-uitrol-slimme-meters/beantwoording-vragen-ontwerpbesluit-grootschalige-uitrol-slimme-meters.pdf:
29
Ondersteunt u het verzoek van de energieleveranciers en overige dienstenaanbieders om in de algemene maatregel van bestuur (AMvB) metereisen op te nemen dat - net als voor elektriciteit - ook voor gasmeters de frequentie voor het vaststellen en kunnen communiceren van meterstanden minimaal eens per vijf minuten dient te zijn?

Antwoord
Ik ondersteun het pleidooi van de verschillende marktpartijen voor het verhogen van de uitleesfrequentie van de gasmeters. Aangezien de gemiddelde Nederlandse consument de meeste kosten kwijt is aan gas, kan hij daar dus ook de meeste besparingen realiseren. Met het verhogen van de uitleesfrequentie naar één keer per vijf minuten en dus meer actuele terugkoppeling van het verbruik van gas, zullen de besparingsmogelijkheden voor de consument toenemen omdat hij meer directe feedback over zijn verbruik krijgt. De netbeheerders hebben aangegeven dat zij, conform het verzoek van de marktpartijen, de uitleesfrequentie voor gas zullen ophogen naar één keer per vijf minuten en dit opnemen in de meterspecificaties voor de meterversie die zij nu aan het ontwikkelen zijn en die per 2016 op de markt gaat komen. In het Besluit op afstand uitleesbare meetinrichtingen zijn alleen de minimum functionaliteiten van de slimme elektriciteits- en gasmeter vastgelegd. Omdat de netbeheerders hebben toegezegd de ophoging van de uitleesfrequentie voor gas op te nemen in de meterspecificaties, is er geen aanleiding om de minimumeis in het Besluit op afstand uitleesbare meetinrichtingen nog aan te passen aan deze frequentieverhoging.
14-09-2016, 22:21 door Erik van Straten
Omdat niet iedereen het lijkt te begrijpen, nog maar eens:
13-09-2016, 21:20 door Erik van Straten: Door een slimme meter kan zo'n medewerker zien wanneer jij naar je werk bent, en wanneer jouw buren weg zijn.

Of er in de door de redactie beschreven casus gedetailleerde gebruiksgegevens uit slimme meters zijn gestolen, weten we niet; uit [1], nadruk door mij:
Het gaat om gegevens van het energiecontract ZOALS het jaarverbruik, type aansluiting en de einddatum van de contracten.
Hoewel ik het zeker niet uitsluit, schreef ik in mijn bijdrage van 13-09-2016, 21:20 nergens dat bij deze kopieeractie andere verbruiksgegevens dan jaarverbruik en/of verkregen via slimme meters zouden zijn gestolen.

Wat ik bedoel (en wat Anoniem "YheYOSH" en NedFox ook al aangaven) is dat bij energieleveranciers en/of -tranporteurs (zoals bij elke organisatie) ook onbetrouwbare mensen kunnen werken - iets dat in deze casus wel zeker lijkt. Met als gevolg: hoe meer gegevens van jou binnen handbereik zijn van dat soort mensen, hoe groter de risico's die je loopt.

En als ik dan lees, eveneens in [1]:
Inmiddels is het voor de betrokken energieleverancier niet langer mogelijk om gegevens uit het systeem te halen waar ze geen recht toe heeft
Hè gelukkig, nu heb ik er het volste vertrouwen in dat dit soort incidenten nooit meer voor kunnen komen (not).

Met die "oplossing" na deze blunder, en het kennelijke feit dat mijn energieleverancier (want kennelijk doen alle energieleveranciers dat) energiejaarverbruikcijfers (en wie weet welke vertrouwelijke gegevens nog meer), zonder mijn toestemming, doorspeelt naar zo'n centrale club met een dergelijk beveiligingsbeleid, ben ik blij dat ik de mij onlangs opgedrongen simme meter geweigerd heb. En dat ik daarbij Stedin niet een van mijn gewone e-mail adressen gegeven heb, maar een unieke alias (zie [2]). Ik ben benieuwd of "zoals" ook e-mail adressen omvat en ik binnenkort gespamd word op die alias.

[1] http://www.netbeheernederland.nl/nieuws/nieuwsbericht/?newsitemid=2596339712
[2] https://www.security.nl/posting/483148/Stedin+eist+e-mail+adres
15-09-2016, 00:01 door Anoniem
Wie steelt is een dief.
15-09-2016, 00:11 door Anoniem
Eind vorige eeuw maakten sommige "Big Data" verzamelaars gebruik van stromannen (of vrouwen) die doodgewoon ergens aan het werk gingen om te kijken wat ze konden graaien aan klantendata en persoonsgegevens etc. om deze daarna stiekem door te spelen als voer voor een Big Data systeem. Desnoods liegen ze over de opleiding om de baan te krijgen. Heel enge lui. Heb toen al een keer gehoord van zo iemand die bij toenmalig energiebedrijf Rotterdam ontslagen was omdat ze de gegevensdiefstal hadden ontdekt. Is dus niet nieuw, alleen meestal kwam het niet zo in de publiciteit.
15-09-2016, 07:51 door karma4
Erik je betoog van 22:21 bevat als belangrijkste argument dat er niet vanuit gegaan mag worden dat alle medewerkers altijd betrouwbaar en ethisch handelen. Met de vele voorbeelden van de leiders die onbetrouwbaar en niet ethisch bleken is dat een gegeven.
Ergo: de interne procedures en maatregelen dienen dusdanig te zijn dat misbruik geconstateerd kan worden (ids siem telemetry gebruik big data) dat de tevhnische maatregelen overeenkomstig risico impact zijn en dat bij events adequaat gereageerd wordt.

De rest over ze zouden zien dat.. Is fud (fear uncertainty doubt) een strategie om juist niets effectief te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.