image

Kamer van Koophandel lekt beschermde privéadressen Kamerleden

dinsdag 24 augustus 2021, 12:02 door Redactie, 14 reacties

Door een datalek bij de Kamer van Koophandel (KvK) zijn de beschermde privéadressen van achttienhonderd mensen gelekt, waaronder ook Kamerleden. De KvK heeft het datalek bij de Autoriteit Persoonsgegevens gemeld. Vorige week meldde de Kamer van Koophandel op de eigen website dat een voormalig advocaat, bij het opvragen van informatie uit het Handelsregister, ten onrechte gebruik heeft gemaakt van een autorisatie waarmee niet-openbare privéadressen meegeleverd worden.

Een beperkt aantal bevoegde instanties en beroepsgroepen, waaronder de advocatuur, kunnen dergelijke adressen door middel van deze autorisatie inzien. De advocaat in kwestie heeft zichzelf uit het advocatenregister laten schrappen en was daarom volgens de KvK niet meer bevoegd om handelsregisterproducten met daarin deze adressen op te vragen. RTL Nieuws meldt dat het in totaal om de gegevens van achttienhonderd personen gaat, waaronder die van Kamerleden van D66, GroenLinks en BIJ1. De oud-advocaat vroeg gegevens op van organisaties die voornamelijk politiek of politiek activistisch zijn.

De Kamer van Koophandel benaderde de oud-advocaat, die schriftelijk verklaarde dat hij de niet-openbare gegevens heeft vernietigd. Tevens zijn alle betrokkenen via brief geïnformeerd over het datalek. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens. Daarnaast is er een onderzoek ingesteld waaruit blijkt dat er meer voormalig advocaten zijn die nog geautoriseerd waren om niet-openbare gegevens in te zien.

De KvK heeft in totaal 164 autorisaties ingetrokken, waarvan er 92 nog zijn gebruikt om gegevens op te vragen. Er wordt nog onderzocht of er een risico voor betrokkenen is. Vanwege het datalek neemt de KvK aanvullende maatregelen. Zo worden de autorisaties van de andere bevoegde beroepsgroepen, zoals notarissen en deurwaarders, geverifieerd en zullen de autorisaties van alle bevoegde beroepsgroepen voortaan periodiek worden gecontroleerd.

Reacties (14)
24-08-2021, 12:54 door Anoniem
Kamer van koophandel, heeft zonder enige schaamte de prive-adressen van zzp-ers verkocht aan de hoogst biedende.
Dus blij dat de kamerleden er nu een keer de dupe van zijn.
24-08-2021, 14:23 door Anoniem
Was de analoge wereld van vroeger ook zo lek?

The Matrix
24-08-2021, 14:29 door Anoniem
Door Anoniem: Was de analoge wereld van vroeger ook zo lek?

The Matrix

Ja, alleen kostte het toen veel meer moeite.
24-08-2021, 14:43 door Anoniem
Door Anoniem: Was de analoge wereld van vroeger ook zo lek?

The Matrix
Naar mijn idee wel. Denk maar aan analoge telefooncentrales die afgetapt konden worden.
En dat is maar 1 voorbeeld van de velen die je kunt noemen.
24-08-2021, 14:46 door Anoniem
Naast de privégegevens van Kamerleden, ontvreemde de voormalige advocaat ook informatie over leden van de politieke jongerenorganisatie DWARS van GroenLinks en de landelijke studentenvakbond LSVb. De KvK heeft de gedupeerden per e-mail over het lek geïnformeerd. Hen wordt gevraagd melding te maken van "ongewone activiteiten” rond het privéadres.

De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
24-08-2021, 15:13 door Anoniem
Lekkere exit protocol...die was er dus niet. Kun je wel nagaan hoe er gewerkt werd...
24-08-2021, 15:22 door Anoniem
Door Anoniem: Was de analoge wereld van vroeger ook zo lek?

The Matrix
Ja! Toen werd het gewoon per brief opgevraagd.
24-08-2021, 21:56 door Anoniem
Door Anoniem: Naast de privégegevens van Kamerleden, ontvreemde de voormalige advocaat ook informatie over leden van de politieke jongerenorganisatie DWARS van GroenLinks en de landelijke studentenvakbond LSVb. De KvK heeft de gedupeerden per e-mail over het lek geïnformeerd. Hen wordt gevraagd melding te maken van "ongewone activiteiten” rond het privéadres.

De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
KvK heeft geen data gelekt. Die data werd gegeven aan iemand, die daartoe gerechtigd was in zijn oude beroep. Nergens staat dat die werksituatie verandering gekend was bij de KvK.
24-08-2021, 22:13 door Anoniem
Zijn ze gelekt of had iemand nog toegang terwijl die dat niet meer zou moeten hebben? Is dat lekken?
25-08-2021, 07:45 door Anoniem
Door Anoniem:
Door Anoniem: Naast de privégegevens van Kamerleden, ontvreemde de voormalige advocaat ook informatie over leden van de politieke jongerenorganisatie DWARS van GroenLinks en de landelijke studentenvakbond LSVb. De KvK heeft de gedupeerden per e-mail over het lek geïnformeerd. Hen wordt gevraagd melding te maken van "ongewone activiteiten” rond het privéadres.

De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
KvK heeft geen data gelekt. Die data werd gegeven aan iemand, die daartoe gerechtigd was in zijn oude beroep. Nergens staat dat die werksituatie verandering gekend was bij de KvK.

Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
25-08-2021, 09:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Naast de privégegevens van Kamerleden, ontvreemde de voormalige advocaat ook informatie over leden van de politieke jongerenorganisatie DWARS van GroenLinks en de landelijke studentenvakbond LSVb. De KvK heeft de gedupeerden per e-mail over het lek geïnformeerd. Hen wordt gevraagd melding te maken van "ongewone activiteiten” rond het privéadres.

De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
KvK heeft geen data gelekt. Die data werd gegeven aan iemand, die daartoe gerechtigd was in zijn oude beroep. Nergens staat dat die werksituatie verandering gekend was bij de KvK.

Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
Waar staat, dat de KvK die criteria moet controleren of ze überhaupt wel die bevoegdheid hiervoor hebben. Het is Nederland hoor, met allemaal aparte regeltjes.
25-08-2021, 11:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Naast de privégegevens van Kamerleden, ontvreemde de voormalige advocaat ook informatie over leden van de politieke jongerenorganisatie DWARS van GroenLinks en de landelijke studentenvakbond LSVb. De KvK heeft de gedupeerden per e-mail over het lek geïnformeerd. Hen wordt gevraagd melding te maken van "ongewone activiteiten” rond het privéadres.

De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
KvK heeft geen data gelekt. Die data werd gegeven aan iemand, die daartoe gerechtigd was in zijn oude beroep. Nergens staat dat die werksituatie verandering gekend was bij de KvK.

Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.

Eens en daarvoor dien je eerst een exit protocol op te stellen en autorisaties welke dagelijks gecontroleerd dienen te worden. Zodat je altijd een daags overzicht hebt.

Ik deed dit voor een van de grootste ICT bedrijven in NL en ik werd binnen het kwartier gewaarschuwd als er iets veranderde in autorisaties. En ik deed dit ook ism HRM en driect leidinggevende. Ontslag andere job binnen het bedrijf? Wham dicht volautomatisch. Heb je toegang nodig dan altijd volgens een profiel ism met HRM en direct leiding gevende. Streng? Ja natuurlijk kwestie van wennen en verantwoording nemen en daarvoor diene de procedures geen papieren tijgers te zijn met een daad kracht van niets. Er moeten garanties gegeven worden op eindresultaat niet dat de doorlooptijd uiteindelijk het hele systeem gaat dwarsliggen en er van hogerhand wordt besloten dat de situatie onwerkbaar is.
.
Altijd 2 partijen direct leidinggevende die daartoe verplicht wordt gesteld en hrm. (in dit geval is het een iets andere situatie)

Maar zodra iemand een ww aan iemand anders geeft b.v. in mijn geval een systeembeheerder wordt het wel lastig want dan moet je ook het ipnummer en profiel werkplek controleren en dat is haast niet te doen wanneer de ICT infrastructuur niet strak georganiseerd is qua werkplekken en rechten structuur en de hele organisatie erachter. (kan wel natuurlijk met behulp van 2fa) Maar als ook die code of pasje wordt weggegeven sta je machteloos. Je kan nog wel checken op login uren en ip nr en werkplek profiel eventueel. En een beetje correlatie.

Valt onder het kopje ongeautoriseerd raadplegen van gegevens en volgens mij valt dit onder computervrede breuk? Maar ik ben geen jurist.
28-08-2021, 13:19 door Anoniem
Door Anoniem:
Door Anoniem:
... knip ...
Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.

https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
KvK heeft geen data gelekt. Die data werd gegeven aan iemand, die daartoe gerechtigd was in zijn oude beroep. Nergens staat dat die werksituatie verandering gekend was bij de KvK.

Bijzonder dat dit steeds als 'groot lek' worden genoemd, terwijl het gewoon ongeauthoriseerd toegang is. Natuurlijk is er wat aan de hand en zijn gegeven terecht gekomen waar dat niet moet. Maar niet dat er een systeem lek is (ok, wel het systeem van controle op eenmaal uitgegeven authorisaties, maar dat opzich is geen datalek).

Is het niet vreemd dat advocaten (dat zijn ook maar mensen) zomaar, zonder verdere controle, bij al deze gegeven mogen komen. Moet er niet iemand nog toestemming voor geven die kan verifieren of de aanvraag wel terecht is (niet persee een rechter, maar wel iemand die ter verantwoording groepen kan worden), zodat er in elk geval vooraf een onafhankelijke derden weet dat gegevens opgevraagd gaan worden en door wie (en ook 'nee' kan zeggen als het twijfelachtig lijkt).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.