Kamer van Koophandel lekt beschermde privéadressen Kamerleden
Door een datalek bij de Kamer van Koophandel (KvK) zijn de beschermde privéadressen van achttienhonderd mensen gelekt, waaronder ook Kamerleden. De KvK heeft het datalek bij de Autoriteit Persoonsgegevens gemeld. Vorige week meldde de Kamer van Koophandel op de eigen website dat een voormalig advocaat, bij het opvragen van informatie uit het Handelsregister, ten onrechte gebruik heeft gemaakt van een autorisatie waarmee niet-openbare privéadressen meegeleverd worden.
Een beperkt aantal bevoegde instanties en beroepsgroepen, waaronder de advocatuur, kunnen dergelijke adressen door middel van deze autorisatie inzien. De advocaat in kwestie heeft zichzelf uit het advocatenregister laten schrappen en was daarom volgens de KvK niet meer bevoegd om handelsregisterproducten met daarin deze adressen op te vragen. RTL Nieuws meldt dat het in totaal om de gegevens van achttienhonderd personen gaat, waaronder die van Kamerleden van D66, GroenLinks en BIJ1. De oud-advocaat vroeg gegevens op van organisaties die voornamelijk politiek of politiek activistisch zijn.
De Kamer van Koophandel benaderde de oud-advocaat, die schriftelijk verklaarde dat hij de niet-openbare gegevens heeft vernietigd. Tevens zijn alle betrokkenen via brief geïnformeerd over het datalek. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens. Daarnaast is er een onderzoek ingesteld waaruit blijkt dat er meer voormalig advocaten zijn die nog geautoriseerd waren om niet-openbare gegevens in te zien.
De KvK heeft in totaal 164 autorisaties ingetrokken, waarvan er 92 nog zijn gebruikt om gegevens op te vragen. Er wordt nog onderzocht of er een risico voor betrokkenen is. Vanwege het datalek neemt de KvK aanvullende maatregelen. Zo worden de autorisaties van de andere bevoegde beroepsgroepen, zoals notarissen en deurwaarders, geverifieerd en zullen de autorisaties van alle bevoegde beroepsgroepen voortaan periodiek worden gecontroleerd.
Dus blij dat de kamerleden er nu een keer de dupe van zijn.
The Matrix
Ja, alleen kostte het toen veel meer moeite.
The Matrix
En dat is maar 1 voorbeeld van de velen die je kunt noemen.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
The Matrix
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
De voormalige advocaat zou schriftelijk hebben bevestigd dat de gegevens zouden zijn verwijderd. Wie deze persoon is en wat zijn of haar motieven zijn, is onbekend. Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Als je iemand op basis van bepaalde criteria toegang geeft tot gegevens, moet je mijns inziens ook blijven(d) controleren of nog steeds aan die criteria wordt voldaan. Als iemand niet (meer) aan de criteria voldoet en toch toegang heeft, heb je iets fout gedaan.
Eens en daarvoor dien je eerst een exit protocol op te stellen en autorisaties welke dagelijks gecontroleerd dienen te worden. Zodat je altijd een daags overzicht hebt.
Ik deed dit voor een van de grootste ICT bedrijven in NL en ik werd binnen het kwartier gewaarschuwd als er iets veranderde in autorisaties. En ik deed dit ook ism HRM en driect leidinggevende. Ontslag andere job binnen het bedrijf? Wham dicht volautomatisch. Heb je toegang nodig dan altijd volgens een profiel ism met HRM en direct leiding gevende. Streng? Ja natuurlijk kwestie van wennen en verantwoording nemen en daarvoor diene de procedures geen papieren tijgers te zijn met een daad kracht van niets. Er moeten garanties gegeven worden op eindresultaat niet dat de doorlooptijd uiteindelijk het hele systeem gaat dwarsliggen en er van hogerhand wordt besloten dat de situatie onwerkbaar is.
.
Altijd 2 partijen direct leidinggevende die daartoe verplicht wordt gesteld en hrm. (in dit geval is het een iets andere situatie)
Maar zodra iemand een ww aan iemand anders geeft b.v. in mijn geval een systeembeheerder wordt het wel lastig want dan moet je ook het ipnummer en profiel werkplek controleren en dat is haast niet te doen wanneer de ICT infrastructuur niet strak georganiseerd is qua werkplekken en rechten structuur en de hele organisatie erachter. (kan wel natuurlijk met behulp van 2fa) Maar als ook die code of pasje wordt weggegeven sta je machteloos. Je kan nog wel checken op login uren en ip nr en werkplek profiel eventueel. En een beetje correlatie.
Valt onder het kopje ongeautoriseerd raadplegen van gegevens en volgens mij valt dit onder computervrede breuk? Maar ik ben geen jurist.
... knip ...
Deze persoon bleek echter niet de enige te zijn die nog ongeautoriseerd toegang had tot niet-openbare KvK gegevens. De NRC maakt gewag van een mogelijk mogelijk groter lek.
https://www.nrc.nl/nieuws/2021/08/24/kvk-lekte-priveadressen-van-1-800-mensen-waaronder-van-kamerleden-a4055854
Bijzonder dat dit steeds als 'groot lek' worden genoemd, terwijl het gewoon ongeauthoriseerd toegang is. Natuurlijk is er wat aan de hand en zijn gegeven terecht gekomen waar dat niet moet. Maar niet dat er een systeem lek is (ok, wel het systeem van controle op eenmaal uitgegeven authorisaties, maar dat opzich is geen datalek).
Is het niet vreemd dat advocaten (dat zijn ook maar mensen) zomaar, zonder verdere controle, bij al deze gegeven mogen komen. Moet er niet iemand nog toestemming voor geven die kan verifieren of de aanvraag wel terecht is (niet persee een rechter, maar wel iemand die ter verantwoording groepen kan worden), zodat er in elk geval vooraf een onafhankelijke derden weet dat gegevens opgevraagd gaan worden en door wie (en ook 'nee' kan zeggen als het twijfelachtig lijkt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.