“ hebben we getracht het bericht in te trekken.”

Bijzonder, want dat zit helemaal niet in de e-mailstandaard.
Alleen binnen je eigen exchange server kan dat (soms).

Hier falen wel meerdere dingen achter elkaar zeg.
1. Waarom zou iemand iets zakelijks naar prive mailen
2. Waarom detecteert mailserver niet dat er bsn datalek gaande is (stop mail)
3. Waarom überhaupt poging tot intrekken doen
4. Waarom zijn die rapporages naar het rijk niet in een omgeving die sowiso vanuit huis niet bereikbaar is?
5. Hoevaak ontvangt het rijk rappotages vanuit gmail / hotmail adressen? (Let u op 2e kamer: vragen!)

Waar halen ze het gore lef vandaan om persoonsnummers te mailen?
De enige oplossing is natuurlijk alle betrokkenen op kosten van de betreffende prutser een nieuw persoonsnummer geven. Maar dat zal in Nederland wel niet gebeuren. Het zijn tenslotte toch maar gegevens van burgers. Dus niemand hier heeft er last van als het fout gaat.

Simpelweg lullig. Als de 'betrokkene' toegang had gehad vanuit thuis, en dus gewoon vanuit thuis verder kon werken, was er ook geen noodzaak geweest om dit door te sturen. VPN, Citrix, beveiligde Cloud omgeving of wat dan ook. Hiermee houdt de organisatie controle of haar data en kunnen medewerkers 's Avonds nog dingen, op een veilige manier, afwerken.

het lijken wel ambtenaren...hier zijn geen worden voor..zakewassers

Goor en pruts:

De Nederlander doet weer kond van zijn minzame taalgebruik; zo treffend voor het model medeburgerschap. Dit soort opmerkingen komen veelal uit de monden van mensen die totaal geen notie hebben van bredere verantwoordelijkheid dan de inhoud van hun koelkast. Zij kennen het fenomeen fouten maken niet omdat zij nog nooit in de gelegenheid waren omvangrijke fouten te maken... (de geluksvogels)

Enfin, allemaal te moeilijk en te filosofisch natuurlijk als je niet verder komt dan de be(ver)oordeling: goor en pruts.

De gemeente Aalten heeft dezelfde datum als het ongelukkige voorval melding gedaan bij de AP en gaat de interne procedures aanscherpen om een herhaling te voorkomen.
Gewoon netjes wat je mag verwachten na zo'n ongelukkige fout die misschien - misschien - 5500 mensen treft.

Mijn vraag is wel: Hoe weet het onderzoeksteam, of de ambtenaar van de gemeente Aalten die dit voorval in behandeling heeft, dat het betreffende mail-adres ongebruikt is? Hebben zij om ontvangstbevestiging of leesbevestiging gevraagd?

Gemeente Aalten laat ook een script van Google uitvoeren op hun website. Privacy zal dan daar ook niet echt heel erg belangrijk gevonden worden.

Misschien bij Aalten een paar digibeten inruilen voor mensen die wel iets van IT afweten? Ik bedoel maar, een verzonden e-mail intrekken? Serieus?

Overigens, redactie? BSN-nummer? Burgerservicenummernummer? Tsk.

Dat weten ze niet, dat staat toch uitgebreid uitgelegd?
Het enige wat ze weten is dat ze geen reply krijgen op contactverzoeken.
Hoe het verder zit weten ze niet en dat komen ze "vanwege de privacy" waarschijnlijk ook niet te weten.

Zoek eerst eens iets uit voordat je een ander terechtwijst, kleine moeite toch? https://onzetaal.nl/taaladvies/apk-keuring

6. Privacy gevoelige info wordt in clear text over de lijn gestuurd.

Tjonge jonge jonge jonge wat een AANNAMES weer!
Oei oei, Dan zou ik hier op security.nl ook maar nooit meer terugkomen! Hier draait een script van Google-Analytics.com.

Waarom?
Google Analytics en consorten zijn zelfs met AP handleidingen goed te configureren.

Oeps, dat is geen beste beurt voor de Gemeente Aalten. Die moeten toch nog maar eens de BIG er bij pakken.
https://vng.nl/files/vng/vng/Documenten/actueel/beleidsvelden/cultuur_sport/2012/20120126_BASELINE%20Gemeenten%20-%20Deel%201%20De%20Basis_V1%200.pdf

Off-Topic: Weet iemand hier of er al een procedure bestaat om mensen van een nieuw BSN-nummer te voorzien in een dergelijk geval?
Ik verwacht dat dit soort "ongelukken", ondanks alle goede bedoelingen, trainingen van ambtenaren, richtlijnen en procedures, wel meer gaat voorkomen.

Overigens, als het e-mail adres niet bestaat dan krijgt de afzender daar een melding over van de mailserver van het ontvangende domein.
"Niet in gebruik" is een moeilijk begrip in deze, dat kan van alles betekenen. Vul maar in: Er wordt door niemand meer op ingelogd, de mail op dat adres wordt automatisch naar /dev/null gestuurd, etc.

Ja hoor, het is een rechtmatige verwerking. Het niveau van privacy heeft het punt bereikt dat rechtmatige verwerkingen ter discussie gesteld gaan worden. Ooit was byod het ideaal (kostenbesparingen) dan was het hele gedoe met een 'mail adres niet een als vraag gesteld omdat het als norm gezien zou zijn.
Waar je een vraag bij kan stellen is waarom dit soort lijstjes handmatig samengesteld moeten worden en geen onderdeel van de standaard ICT voorzieningen zijn. Vermoedelijk de zoveelste korten termijn wetsaanpassing dna wel richtlijn waar niet goed over nagedacht is.

Hoe vaak moet nu niet herhaald worden dat een BSN geen bewijs van de juiste persoon is. De privacy activisten schenden de grondbeginselen van privacy by design door dat wel te beweren. Ze (privacy activisten) zitten nu te veel in een hoek waar ook criminelen en misdadigers zich goed bij voelen.

Eens kijken wat we kunnen verzinnen:

1. Omdat de persoon naar huis wil. Bv omdat hij/zij kinderen heeft.
2. Omdat de persoon geen IT-er is, en gewend is om (prive) van alles en nog wat te mailen.
3. Er blijkbaar (aanname) geen thuiswerk oplossing voor deze medewerker was. En dat na 1,5 jaar corona.
4. Het werk (blijkbaar) diezelfde dag nog af moest. Deadline oid.

Let wel: Dit is geen excuus voor wat er gebeurd is.
Maar zet af-en-toe die IT bril eens af, en stap eens in de schoenen van een "gewoon" werknemer, en al de sores waar die in leeft en werkt.
Voor een heel groot deel van de bevolking is IT en scurity nog steeds iets vreemds, onbekends, ingewikkeld en vaag.
Ze kunnen nog net op de knoppen drukken en er komt ergens iets uit. (Met dank aan 40 jaar "computer-les" op alle scholen)

Tot het een keer goed fout gaat. Zoals nu.
En dan wordt er naar de IT afdeling gekeken hoe dit toch kon gebeuren en waariom ze het mailtje niet kunnenn "intrekken". (alsof je dat met een brief die onderweg is, ook kunt. LoL)

Je bedoelt natuurlijk juristen, managers, communicatie-medewerkers, politici, en bestuurders die een uitgebreide achtergrond hebben in IT (met de benodigde certificatie).
Want dat zijn het type personen die de mededeling voor de raad geschreven hebben. In "jip-en-janneke"-taal wel-te-verstaan.
Wat een ITer uitkraamt, past niet in de belevingswereld van mensen zonder afficiteit met IT.

Maar geef het goede voorbeeld: ga er werken. Bied de gemeente Aalten je diensten aan.
Leuke omgeving, Gezellige mensen. En ze kunnen nog veel van je leren. Win-win.

Je vergeet punt 0.

Waarom heeft iemand een detail-lijst met BSN nummers en NAW gegevens nodig om een rapportage leerplicht op te stellen voor regio en rijk?
Deze gegevens hadden toch ook geaggregeerd uit het betreffende systeem gehaald kunnen worden mbv een rapportage-tool (of in het aller ergste geval met een query-tool door de functioneel beheerder of BI medewerker)
Waar hebben de regio en rijk een lijst met 5500 namen nodig van deze gemeente. (en dus waarschijnlijk ook van alle andere betrokken gemeenten?)
Wat doen die daar dan weer mee?
De dames en heren rijks-ambtenaren zullen daar wel weer hun (onbegrijpelijke) redenen voor hebben.

Maar het voelt aan als het rondpompen van data.
Misschien de systemen eens aan elkaar koppelen, of met 1 landelijk systeem werken als een soort (ik weet niet) basisregistratie???
Zo maar een vreemd idee.

Ik heb zelf bij de overheid gewerkt en daar wel eens op bepaalde privacy-risico's gewezen, waarbij het ging om uitermate gevoelige gegevens (dossiers over jeugdzorg/uithuisplaatsingen waar dingen mis waren gegaan, incl. namen, adressen...). Dat werd gewoon weggewuifd, ik moest niet moeilijk doen over kleine risico'tjes.

Omdat er altijd medewerkers zullen zijn (mensen!) die hun eigen korte-termijn-gemak belangrijker vinden dan zelfs maar nadenken over risico's voor anderen, zijn er maar twee oplossingen:

1. zero-knowledge en gegevensminimalisatie serieus gaan nemen, en dus het begrip welke gegevensverwerking "nodig" is totaal anders in gaan vullen dan nu door ambtenaren/ overheden/ toezichthouder AP/ rechters gebeurt.

2. strikte privacy-by-design voor systemen waarin gegevens worden verwerkt, en dus het begrip wat "privacy-by-design" inhoudt, totaal anders in gaan vullen dan nu wordt gedaan. Tegenwoordig wordt het al "privacy-by-design" en "voldoende waarborgen" genoemd als bij een systeem de helft van honderd potentiële data-lekken gedicht zijn of als het in theorie, op papier goed zou moeten gaan mits er geen onverwachte omstandigheden optredenen er geen enkele menselijke fout wordt gemaakt. Er wordt een krant tot een bootje gevouwen en dat wordt dan uitgeroepen tot "zeewaardigheid-by-design".

Ik zie op punten 1 en 2 in de realiteit niet gauw verbetering komen. 99% van de mensen zijn slordig en gemakzuchtig. Tegelijk vinden ze zichzelf "professioneel". De enige conclusie die je dan kunt trekken, is dat privacy verleden tijd is. En het enige dat je dan kunt doen, is een persoonlijke strategie ontwikkelen om in de jungle die er is ontstaan, toch zoveel mogelijk informatieveiligheid voor jezelf en jouw dierbaren te creëren.

Want de overheid (in al zijn geledingen) laat het echt volledig afweten.

Is die Aaltense ambtenaar ontslagen? Wordt die strafrechtelijk vervolgd? Nee, natuurlijk niet. Die krijgt een berisping en gaat gewoon verder. Want de bottom line is: privacy wordt niet serieus genomen.