image

Afspraakloket.nl lekte bsn en e-mailadressen duizenden gebruikers

maandag 14 september 2020, 09:44 door Redactie, 17 reacties

De website Afspraakloket.nl, waar de afgelopen dagen verschillende gemeenten voor waarschuwden, heeft de privégegevens van duizenden gebruikers gelekt. Het gaat onder andere om burgerservicenummers en e-mailadressen, zo laat de NOS weten.

Via Afspraakloket.nl konden gebruikers tegen betaling afspraken bij hun gemeente laten inplannen, bijvoorbeeld voor het verlengen van een paspoort of rijbewijs. Bij meerdere gemeenten kwamen klachten van inwoners over de website binnen. Gemaakte afspraken zouden niet aan de desbetreffende gemeente zijn doorgegeven. Gebruikers moesten daarnaast allerlei gevoelige persoonlijke informatie opgeven.

De gemeente Sliedrecht, Alkmaar, Coevorden, Emmen, Zwijndrecht, Dordrecht, Alblasserdam en Hendrik-Ido-Ambacht waarschuwden hun inwoners dat ze niet met Afspraakloket.nl samenwerken en adviseerden om geen gebruik van de website te maken. Afspraakloket.nl was sinds enkele weken actief.

Op een testpagina van de website waren interne wachtwoorden te zien, waaronder die van de database. Zo was het eenvoudig om op de database in te loggen en alle opgeslagen data in te zien. Het ging om burgerservicenummers, telefoonnummers, postcodes, e-mailadressen en verloopdata van identiteitsdocumenten, zo ontdekte de NOS. De data bleek afkomstig van 6000 gebruikers, waarvan 4200 hun e-mailadres hadden opgegeven en 2600 hun burgerservicenummer hadden ingevuld.

De website mocht burgerservicenummers helemaal niet opslaan omdat het hier om extra beschermde persoonsgegevens gaat. "Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars", aldus de Autoriteit Persoonsgegevens.

De beheerder van de website laat aan de NOS weten dat het datalek nooit had mogen gebeuren en hij al bezig was om het burgerservicenummer uit te faseren. De website is inmiddels door de beheerder uit de lucht gehaald, die vooralsnog niet van plan is om het datalek bij de privacytoezichthouder te melden.

Reacties (17)
14-09-2020, 09:49 door Anoniem
"De gemeente Sliedrecht, Alkmaar, Coevorden, Emmen, Zwijndrecht, Dordrecht, Alblasserdam en Hendrik-Ido-Ambacht waarschuwden hun inwoners dat ze niet met Afspraakloket.nl samenwerken en adviseerden om geen gebruik van de website te maken. "

Wat ik echt heel bijzonder vindt is dat we in Nederland dus wel massaal kunnen waarschuwen, maar de site gewoon uit de lucht halen kan blijkbaar niet snel. Net alsof waarschuwingen aankomen: iemand die via zo een site een afspraak maakt komt daar vast via Google en mist dus die waarschuwing.

Oftwel: we zijn zo traag, dat als dit echt crimineel was (waar het niet op lijkt, althans niet bewust) laten we criminelen gewoon hun ding doen. En als het niet crimineel blijkt te zijn zou de eigenaar de gemeenten nu toch voor smaad kunnen gaan aanklagen, dus dan kun je als overheid beter meteen de stekker eruit laten trekken door de hoster (dan heb je tenminste echt even een gesprek).
14-09-2020, 09:59 door Anoniem
Het klinkt als een naïeve beheerder of ontwikkelaar die teveel hooi op zijn vork heeft genomen. Melden zal hij wel moeten, en met wat pech wordt er ook nog een voorbeeld van 'm gemaakt.
14-09-2020, 10:49 door Anoniem
Door Anoniem: "De gemeente Sliedrecht, Alkmaar, Coevorden, Emmen, Zwijndrecht, Dordrecht, Alblasserdam en Hendrik-Ido-Ambacht waarschuwden hun inwoners dat ze niet met Afspraakloket.nl samenwerken en adviseerden om geen gebruik van de website te maken. "

Wat ik echt heel bijzonder vindt is dat we in Nederland dus wel massaal kunnen waarschuwen, maar de site gewoon uit de lucht halen kan blijkbaar niet snel. Net alsof waarschuwingen aankomen: iemand die via zo een site een afspraak maakt komt daar vast via Google en mist dus die waarschuwing.

Oftwel: we zijn zo traag, dat als dit echt crimineel was (waar het niet op lijkt, althans niet bewust) laten we criminelen gewoon hun ding doen. En als het niet crimineel blijkt te zijn zou de eigenaar de gemeenten nu toch voor smaad kunnen gaan aanklagen, dus dan kun je als overheid beter meteen de stekker eruit laten trekken door de hoster (dan heb je tenminste echt even een gesprek).

Gelukkig kan onze overheid niet 'zomaar' de stekker uit websites trekken, en al helemaal niet de lokale overheid. Wel hadden de gemeentes aangifte kunnen doen, maar het aanbieden van een website waarop je afspraken kunt maken bij een gemeente is in basis niet strafbaar. Door het datalek weten we nu dat deze site burgerservicenummers opsloeg, maar dat was (volgens mij) nog niet bekend, dus dan was er al helemaal geen reden om deze site aan te pakken.
14-09-2020, 11:14 door Anoniem
De beheerder van de website laat aan de NOS weten dat het datalek nooit had mogen gebeuren en hij al bezig was om het burgerservicenummer uit te faseren.
Die hele website had nooit mogen gebeuren en het is beter om die maar uit te faseren!
Dit soort haaien kunnen we best missen op het web. Als kiespijn.
14-09-2020, 11:23 door Anoniem
Nou, dat was dus niet volgens afspraak. Dan maar naar een ander loket.
14-09-2020, 11:28 door Anoniem

Gelukkig kan onze overheid niet 'zomaar' de stekker uit websites trekken, en al helemaal niet de lokale overheid. Wel hadden de gemeentes aangifte kunnen doen, maar het aanbieden van een website waarop je afspraken kunt maken bij een gemeente is in basis niet strafbaar. Door het datalek weten we nu dat deze site burgerservicenummers opsloeg, maar dat was (volgens mij) nog niet bekend, dus dan was er al helemaal geen reden om deze site aan te pakken.

Nou, een gerechtelijk bevel is genoeg. En dat kan ook met piraterij sites en andere sites. Dus dat kan echt wel binnen week uit de lucht gehaald worden. Maar is gewoon niet geprobeerd.

Ten tweede, als je bij een formulier je BSN moet invullen, dan weet je dat ze een BSN verwerken, en zijn ze strafbaar. Daar doet deze lek niets aan af. Aangezien men kan tellen hoeveel BSN nummers zijn ingevuld, betekend dat het BSN dus als een veld in een formulier stond. Helaas is de site helemaal weg, en dus kunnen we dat nu niet zien. Maar denken dat data niet wordt opgeslagen als er wel om gevraagd wordt is heel naïef...

TheYOSH
14-09-2020, 11:34 door Anoniem
Vraag:

Deze website biedt aan om afspraken bij gemeenten te maken. Aan de voorkant lever je als burger de informatie over wat, waar en wanneer. (En in dit geval BSN, etc)
Maar wat gebeuert er daarna aan de achterkant?
Hoe communiceert deze website / de beheerder de gemaakte afspraken naar de gemeenten toe? Met het handje, een bot, niet.
Afgaande op reacties van een aantal gemeenten, heeft de beheerder heir geen afspraken oevr gemaakt met de 300+ gemeenten in Nederland.

Wat is het verdienmodel van deze beheerder?

Als de beheerder niets of niet voldoende informatie over het gebruik van de ingegeven data op zijn website had staan, en niets geregeld had met de gemeenten, dan kan hij juridisch vervolgd worden.
14-09-2020, 13:11 door Anoniem
Door Anoniem: Nou, een gerechtelijk bevel is genoeg. En dat kan ook met piraterij sites en andere sites. Dus dat kan echt wel binnen week uit de lucht gehaald worden. Maar is gewoon niet geprobeerd.
Op basis waarvan denk je precies dat een gerechtelijk bevel te regelen is?

"Diensten" als deze voegen geen ene donder toe, dienen alleen om mensen onnodig geld uit de zak te kloppen en zijn daarmee moreel verwerpelijk.

Alleen: moreel verwerpelijk is niet automatisch illegaal. Wil een rechter een website uit de lucht laten halen dan zullen daar argumenten voor nodig zijn die juridisch steekhoudend zijn. Wat zijn die argumenten in jouw ogen?
14-09-2020, 14:47 door Anoniem
Door Anoniem:
Door Anoniem: Nou, een gerechtelijk bevel is genoeg. En dat kan ook met piraterij sites en andere sites. Dus dat kan echt wel binnen week uit de lucht gehaald worden. Maar is gewoon niet geprobeerd.
Op basis waarvan denk je precies dat een gerechtelijk bevel te regelen is?

"Diensten" als deze voegen geen ene donder toe, dienen alleen om mensen onnodig geld uit de zak te kloppen en zijn daarmee moreel verwerpelijk.

Alleen: moreel verwerpelijk is niet automatisch illegaal. Wil een rechter een website uit de lucht laten halen dan zullen daar argumenten voor nodig zijn die juridisch steekhoudend zijn. Wat zijn die argumenten in jouw ogen?

Er zijn zoveel wetten dat er altijd wel een kapstokartikel is waar je iemand aan kunt ophangen.
14-09-2020, 14:51 door Anoniem
Door Anoniem:
Door Anoniem: Nou, een gerechtelijk bevel is genoeg. En dat kan ook met piraterij sites en andere sites. Dus dat kan echt wel binnen week uit de lucht gehaald worden. Maar is gewoon niet geprobeerd.
Op basis waarvan denk je precies dat een gerechtelijk bevel te regelen is?

"Diensten" als deze voegen geen ene donder toe, dienen alleen om mensen onnodig geld uit de zak te kloppen en zijn daarmee moreel verwerpelijk.

Alleen: moreel verwerpelijk is niet automatisch illegaal. Wil een rechter een website uit de lucht laten halen dan zullen daar argumenten voor nodig zijn die juridisch steekhoudend zijn. Wat zijn die argumenten in jouw ogen?

Wat gebeurt er:
Een dienst aanbieden, daar een betaling voor accepteren, maar niets leveren.

Oplichting noemt men dat.
Lijkt me juridisch steekhoudend. Toch?
14-09-2020, 15:02 door Briolet
Het grootste lek is eigenlijk al dat je de informatie doorgeeft aan deze site. Want als ze niet door de gemeente betaald worden, is hun verdienmodel het vergaren van adressen.

Ik blijf het vreemd vinden dat mensen allerlei persoonlijke informatie op een vreemde site invullen en dit niet op de webpagina van hun eigen gemeende doen.

Bij mij in de gemeente is deze afspraak optie een van de positieve gevolgen van corona. In plaats van een nummertje trekken en hopen dat er niet te veel mensen gelijktijdig een nummertje trekken, kun je nu thuis een afspraak maken en precies op het moment van de afspraak naar de gemeente gaan. Als het rustig is kun je zelfs een tijdslot kiezen dat maar enkele minuten in de toekomst ligt. (wel hard fietsen daarna om er op tijd te zijn)
14-09-2020, 16:15 door Anoniem
Inmiddels geeft website "offline".
14-09-2020, 18:02 door Anoniem
Door Briolet: Het grootste lek is eigenlijk al dat je de informatie doorgeeft aan deze site. Want als ze niet door de gemeente betaald worden, is hun verdienmodel het vergaren van adressen.
Welnee!
Hun verdienmodel is dat je om een afspraak te kunnen maken eerst hen moet betalen.
Daarmee verdienen ze natuurlijk veel sneller veel meer dan door "adressen te verzamelen".

Ik blijf het vreemd vinden dat mensen allerlei persoonlijke informatie op een vreemde site invullen en dit niet op de webpagina van hun eigen gemeende doen.
Dat is niet vreemd. Dit soort sites koopt advertentieruimte in bij zoekmachines waardoor hun naam bovenaan komt als mensen gaan zoeken hoe ze een afspraak moeten maken.
Er zijn heel veel van dit soort sites actief, voor allerlei activiteiten die normaal gesproken gratis zijn of een bepaald bedrag kosten waar men dan nog wat bovenop kan gooien.
En dit mag allemaal, want iedereen mag een dienst aanbieden en daar geld voor vragen, zelfs al is het nog zo'n nutteloze dienst.

Bij mij in de gemeente is deze afspraak optie een van de positieve gevolgen van corona. In plaats van een nummertje trekken en hopen dat er niet te veel mensen gelijktijdig een nummertje trekken, kun je nu thuis een afspraak maken en precies op het moment van de afspraak naar de gemeente gaan. Als het rustig is kun je zelfs een tijdslot kiezen dat maar enkele minuten in de toekomst ligt. (wel hard fietsen daarna om er op tijd te zijn)
Nou dat was in mijn gemeente al een paar jaar zo. En het is helemaal niet flexibel.
Nu heb ik bijvoorbeeld een nieuw rijbewijs en ID kaart nodig, maar je moet je afspraak aanvragen via een rigide formulier systeem waar je alleen kunt KIEZEN waar je een afspraak voor wilt maken en niet 1 afspraak voor meerdere zaken maken.
Ja, je kunt als je een afspraak maakt voor een rijbewijs opgeven dat je 4 rijbewijzen wilt aanvragen. Kolder natuurlijk.
Maar een afspraak maken voor 2 dingen dat moet je dus zelf zo jongleren dat je twee tabbladen open houdt om een afspraak te maken zodat je twee aaneensluitende tijdvakken kunt selecteren en allebij bevestigen binnen korte tijd.
Anders krijg je 2 afspraken die uit elkaar liggen en dan zit je daar te wachten of moet je 2 keer gaan.
Dat was vroeger niet zo, toen je nog gewoon bij de toezichthouder bij de ingang moest zeggen waar je voor kwam en dan een nummertje kreeg voor een loket, waar je het allemaal in een keer kon afhandelen.
14-09-2020, 23:53 door Briolet
Door Anoniem:
Door Briolet: Het grootste lek is eigenlijk al dat je de informatie doorgeeft aan deze site. Want als ze niet door de gemeente betaald worden, is hun verdienmodel het vergaren van adressen.
Welnee!
Hun verdienmodel is dat je om een afspraak te kunnen maken eerst hen moet betalen.
Daarmee verdienen ze natuurlijk veel sneller veel meer dan door "adressen te verzamelen".

Je hebt gelijk. Ik heb nu het nos artikel in de link gelezen. Maar ik blijf het vreemd vinden dat mensen vrijwillig 20 euro gaan betalen voor een afspraak. Zeker op het moment dat je moet betalen, haak je toch alsnog af? Maar de data heb je dan misschien al ingevuld. Wat dat betreft vraag ik me af of die 6000 personen ook daadwerkelijk iets betaald hebben, of dat er alleen de adressen onthouden zijn.

De eigenaar van de site zit natuurlijk wel te liegen als hij zegt dat het maken van afspraken nooit het hoofddoel van de site was. Alleen al de naam van de site geeft aan dat het wel het hoofddoel is.

-----

Volgens mij kon je bij ons ook al voor de corona een digitale afspraak maken, maar is het nu de enige optie. Hier is het systeem wel iets flexibeler. Je kiest waarvoor je komt, waarna je kunt kiezen om nog een activiteit toe te voegen. Je krijgt dan alleen de opties te zien die bij hetzelfde loket gedaan kunnen worden als de eerste keuze.
In elk geval geen dingetje waar ik 20 euro voor zou neertellen als het gratis kan bij de gemeente.
15-09-2020, 07:53 door Anoniem
Door Anoniem: Het klinkt als een naïeve beheerder of ontwikkelaar die teveel hooi op zijn vork heeft genomen. Melden zal hij wel moeten, en met wat pech wordt er ook nog een voorbeeld van 'm gemaakt.
Dat ze een voorbeeld hiervan zouden maken is geen pech, maar volledig terecht;
Er wordt een website opgezet die blijkbaar tegen betaling zaken voor je "regelt" terwijl dit bij de gemeente normaal gratis is.
Vervolgens blijkt dat het regelen vaak niet gebeurt is. Vraagt de site om allerlei gevoelige gegevens die ze EN niet mogen vragen EN niet nodig hebben;

Als klap op de vuurpijl is de site zo lek als een mandje, lekt gevoelige gegevens en de beheerder zegt doodleuk dat ie dit maar niet gaat melden als datalek.... Maak hier aljeblieft een mooi voorbeeld van.
15-09-2020, 11:58 door Anoniem
"Amsterdam, die grote stad, is gebouwd op palen" ...

zie hier een zandbak scannetje:

https://urlscan.io/result/8f699b60-6440-4146-9b31-50c5744030c1/

Staat ook niets meer op behalve de index pagina
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<title>Index of /</title>
</head>
<body>
<h1>Index of /</h1>
<ul></ul>
</body></html>
Doorlopen mensen , niets te zien hier, volgens de hoster.
Je moet maar durven. Arrogant en hondsbrutaal, doen wij het voor u allemaal.

luntrus
15-09-2020, 20:19 door Anoniem
Het lijkt wel of niemand meer hersens in zijn kop heeft. Ik snap ook niet dat gemeentes niet optreden tegen dit soort sites, als ze weten dat ze bestaan.
Tijdje geleden was er ook iets waar mensen goud iets van 10k per kg goedkoper konden krijgen, zitten nu ook op de blaren.

Wel mooi data bestand voor whatsapp fraudeurs en andere marketing mensen, "prospects die alles kopen."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.