image

Bouwbedrijf Heijmans lekt privégegevens 1800 personen via Excel-bijlage

woensdag 14 april 2021, 11:36 door Redactie, 13 reacties

Bouwbedrijf Heijmans heeft door het onbedoeld versturen van een Excel-bijlage de privégegevens van 1800 mensen gelekt. Het ging om om adresgegevens, geboortedata, salaris en hypotheekmogelijkheden van mensen die in een woning geïnteresseerd zijn. In Zevenhuizen konden woningzoekenden zich inschrijven voor 54 koopwoningen.

Elfhonderd mensen die buiten de boot vielen werden via e-mail door Heijmans ingelicht. Het bericht bevatte echter een Excel-bijlage met de gegevens van deze elfhonderd personen, alsmede de gegevens van zevenhonderd levenspartners, zo meldt het AD. Heijmans spreekt van een menselijke fout en heeft melding gedaan bij de Autoriteit Persoonsgegevens.

"De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen", aldus een woordvoerster. Heijmans heeft inmiddels een onderzoek ingesteld hoe het datalek heeft kunnen plaatsvinden en hoe dit in de toekomst kan worden voorkomen.

Reacties (13)
14-04-2021, 11:55 door Anoniem
En de Nederlandse regering blijft maar achterlopen met het toekennen van meer resources voor AP...
14-04-2021, 12:43 door Anoniem
Ik loop nu stage bij een overheidsinstantie en daar maken wij gebruik van ZIVVER als wij gevoelige informatie versturen. Het is nu tijdens dat ik hier stage loop, wat zo'n 2 maanden is, al meerdere malen gebeurd dat er gegevens naar de verkeerde persoon zijn gestuurd. ZIVVER zorgt er in elk geval voor dat er 2FA is en nog belangrijker dat de inhoud van de e-mail ingetrokken kan worden.
14-04-2021, 12:55 door Anoniem
Dat alle personalia in één bestand stonden, komt omdat het om een nieuwbouwproject in de sociale sector gaat. Daarbij was bijvoorbeeld de inkomensgrens en de maatschappelijk binding van belang, legt [de woordvoerder van Heijmans] uit.
Wat ze zich zouden moeten afvragen is waarom dergelijke gegevens toegankelijk zijn als documentbestand dat als bijlage bij een e-mail gevoegd kan worden.

Ik snap het gemak ervan, maar ik snap ook dat het gemak waarmee ongelukken plaatsvinden er net zo goed door vergroot wordt. En ik snap ook dat je dat niet oplost door te besluiten dat mensen goed op moeten letten, want mensen letten domweg niet altijd goed op. Automatisering is er in mijn ogen tientallen jaren veel te sterk op gericht geweest om alles maar makkelijk te maken. Alleen moeten dingen waarvan je niet wilt dat ze gebeuren juist niet te makkelijk zijn, die kunnen beter niet op de weg van de minste weerstand liggen.
14-04-2021, 13:20 door Anoniem
"De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen", aldus een woordvoerster.

Terughalen, als mail buiten je organisatie lekt? Is dit een late 1 april grap...?
14-04-2021, 13:33 door Anoniem
Door Anoniem: Ik loop nu stage bij een overheidsinstantie en daar maken wij gebruik van ZIVVER als wij gevoelige informatie versturen. Het is nu tijdens dat ik hier stage loop, wat zo'n 2 maanden is, al meerdere malen gebeurd dat er gegevens naar de verkeerde persoon zijn gestuurd. ZIVVER zorgt er in elk geval voor dat er 2FA is en nog belangrijker dat de inhoud van de e-mail ingetrokken kan worden.
Dat intrekken kan alleen voor ontvangers die de e-mail nog niet geopend hebben, volgens de website van de leverancier. Ze melden ook dat die ontvangers geen account hoeven aan te maken en dat elke e-mail-client werkt. Klopt mijn vermoeden dat dat betekent dat een ontvanger een link naar een webpagina ontvangt waar de inhoud van de e-mail staat?o

Ik kan me voorstellen dat een dergelijke opzet inderdaad helpt om een hoop van dit soort ongelukken af te vangen.
14-04-2021, 15:35 door Anoniem
Door Anoniem:
"De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen", aldus een woordvoerster.

Terughalen, als mail buiten je organisatie lekt? Is dit een late 1 april grap...?

Nee, alleen maar een onbegrip van hoe email werkt .
Want op kantoor werkt dat wel .

Je ziet het een enkele wel eens, krijg je (van buiten) een tweede mail 'wishes to recall' .

Idd benieuwd hoe zivver dat genoemd wordt dat doet . Als je (alleen) een weblink naar het platform krijgt als ontvanger kost het toch wel extra moeite om die mail ook lokaal te bewaren, en is zo'n recall feature "meestal goed genoeg" .
14-04-2021, 16:11 door Anoniem
Heijmans heeft inmiddels een onderzoek ingesteld hoe het datalek heeft kunnen plaatsvinden en hoe dit in de toekomst kan worden voorkomen.
Iets met kalf een een put...
14-04-2021, 17:05 door Anoniem
Aanklagen en een dikke schadeclaim indienen
14-04-2021, 20:28 door Anoniem
Door Anoniem:
Heijmans heeft inmiddels een onderzoek ingesteld hoe het datalek heeft kunnen plaatsvinden en hoe dit in de toekomst kan worden voorkomen.
Iets met kalf een een put...

Heijmans spreekt van een menselijke fout

Door voortaan het werk van hun personeel door een AI of computer te laten monitoren/controleren.
Of door het versturen van bijlages per email te blokkeren.
Of door de mens uit het proces te halen.

Vandaag is het een excelsheet per email
Morgen is het een usb-stick of een onversleutelde schijf die rondslingerd of buiten de deur vergeten wordt.
En overmorgen worden hun systemen gehackt via een achterdeur.
14-04-2021, 21:30 door Anoniem
Door Anoniem:
Door Anoniem: Ik loop nu stage bij een overheidsinstantie en daar maken wij gebruik van ZIVVER als wij gevoelige informatie versturen. Het is nu tijdens dat ik hier stage loop, wat zo'n 2 maanden is, al meerdere malen gebeurd dat er gegevens naar de verkeerde persoon zijn gestuurd. ZIVVER zorgt er in elk geval voor dat er 2FA is en nog belangrijker dat de inhoud van de e-mail ingetrokken kan worden.
Dat intrekken kan alleen voor ontvangers die de e-mail nog niet geopend hebben, volgens de website van de leverancier. Ze melden ook dat die ontvangers geen account hoeven aan te maken en dat elke e-mail-client werkt. Klopt mijn vermoeden dat dat betekent dat een ontvanger een link naar een webpagina ontvangt waar de inhoud van de e-mail staat?o

Ik kan me voorstellen dat een dergelijke opzet inderdaad helpt om een hoop van dit soort ongelukken af te vangen.

Voor zover ik weet werkt het inderdaad dat je een mail met een link krijgt en de gevoelige mail dus op een website ophaalt. Dit concept heeft veel voordelen, maar ik kan ook enkele nadelen bedenken (denk bijvoorbeeld aan het tracken van ontvangers, je kan immers precies zien wanneer, hoe vaak en vanaf welk IP adres mail gelezen wordt).
15-04-2021, 10:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik loop nu stage bij een overheidsinstantie en daar maken wij gebruik van ZIVVER als wij gevoelige informatie versturen. Het is nu tijdens dat ik hier stage loop, wat zo'n 2 maanden is, al meerdere malen gebeurd dat er gegevens naar de verkeerde persoon zijn gestuurd. ZIVVER zorgt er in elk geval voor dat er 2FA is en nog belangrijker dat de inhoud van de e-mail ingetrokken kan worden.
Dat intrekken kan alleen voor ontvangers die de e-mail nog niet geopend hebben, volgens de website van de leverancier. Ze melden ook dat die ontvangers geen account hoeven aan te maken en dat elke e-mail-client werkt. Klopt mijn vermoeden dat dat betekent dat een ontvanger een link naar een webpagina ontvangt waar de inhoud van de e-mail staat?o

Ik kan me voorstellen dat een dergelijke opzet inderdaad helpt om een hoop van dit soort ongelukken af te vangen.

Voor zover ik weet werkt het inderdaad dat je een mail met een link krijgt en de gevoelige mail dus op een website ophaalt. Dit concept heeft veel voordelen, maar ik kan ook enkele nadelen bedenken (denk bijvoorbeeld aan het tracken van ontvangers, je kan immers precies zien wanneer, hoe vaak en vanaf welk IP adres mail gelezen wordt).

Ja er zijn verschillende van dit soort diensten (bijv ook "zorgmail") en die werken inderdaad volgens een dergelijk principe.
Je krijgt een mail met een link, en afh van wat je opgegeven hebt bij het verzenden van de mail gebeurt er dan nog een
2nd factor authenticatie (bijv je krijgt een SMS gestuurd op het moment dat je die link aanklikt, naar het nummer wat de
verzender heeft opgegeven, en daarin staat een code die je moet invullen om de inhoud te kunnen opvragen).
Je kunt bijv ook een geldigheidstermijn opgeven waarna de mail gewist wordt van hun servers dus als de ontvanger
het niet op tijd leest kan het niet een lange tijd later alsnog door iemand die het systeem gehacked heeft gelezen worden.

Er is wel eens een voorstel geweest dat eigenlijk alle mail zo zou moeten worden geimplementeerd. Als iemand jou
een mail wil sturen dan gaat er alleen een signaaltje naar jouw kant van "er is een mail voor je" en als je dan die
wilt lezen dan pas gaat je mailprogramma die ophalen van de server van de verzender. Een voordeel daarvan zou
zijn dat spammen lastiger wordt omdat je die spam dan ergens moet "hosten" en als je heel veel spam verstuurd kan
je server uit de lucht gehaald worden. Het is ook lastiger om afzender info te vervalsen, mailbommen te sturen, etc.
Maar dit idee is er uiteraard nooit door gekomen omdat iedereen toen al SMTP gebruikte.

Die Zivver lui die lijken me wel goed bezig want als ik hun webpagina opvraag dan krijg ik een berichtje dat ze mijn
Do Not Track header respecteren en geen cookies plaatsen, daar kunnen 99.999% van die irritante cookie popups
nog een voorbeeld aan nemen! Dus ik denk niet dat die actief iets gaan doen met de tracking info wbt openen van
mails die ze uiteraard onvermijdelijk krijgen.
15-04-2021, 10:03 door Anoniem
Door Anoniem:
Door Anoniem:
"De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen", aldus een woordvoerster.

Terughalen, als mail buiten je organisatie lekt? Is dit een late 1 april grap...?

Nee, alleen maar een onbegrip van hoe email werkt .
Want op kantoor werkt dat wel .

Je ziet het een enkele wel eens, krijg je (van buiten) een tweede mail 'wishes to recall' .

Ja als je Outlook als mailclient hebt dan verwerkt die dat soort mailtjes automatisch en delete het mailtje wat men had
willen recallen (en ook dat 2e mailtje), maar inderdaad alleen als je dat 1e mailtje nog niet gelezen had.
Dit wordt nog wel eens gebruikt om blunders te herstellen, meestal eerder het omgekeerde ("zie de bijlage voor... en
dan vergeten de bijlage erbij te doen").
Maar heb je een andere mailomgeving dan zie je gewoon die 2 mailtjes staan inderdaad.
15-04-2021, 10:59 door Anoniem
Los van het verlies van data, hoe dat gelekt is en hoe dat verkomen kan worden moeten we ons met z'n allen ook gewoon veel vaker en beter afvragen welke data nodig is voor iets en hoe lang je het bewaard. Geboortedata, salaris en hypotheekmogelijkheden lijkt me overbodig veel data wat je geeft aan zo een instantie om interesse (loting las ik in een ander artikel) in een woning te hebben.

Hetzelfde met die toko die al die gegevens van de bezoekers van dierentuinen e.d. bewaarden. Een week na het bezoek aan de dierentuin zijn die gegeven niet meer nodig en moeten ze verwijderd worden. Delen daarvan zouden geanonimiseerd kunnen worden opgeslagen voor statistische doeleinden maar dan zijn het geen persoonsgegevens meer. Wat mij betreft mag het AP daar ook veel harder op handhaven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.