Meer specifiek: van de duizenden huiseigenaren die tussen 2014 en 2020 een aanbod accepteerden van de NAM.

https://nos.nl/artikel/2426789-datalek-nam-bewonersgegevens-gedeeld-met-ministerie

Dus nu heeft de NAM zelf bedacht dat de NAM sommige van de door haarzelf veroorzaakte datalekken niet hoeft te melden omdat er - naar het feilloze inzicht van de NAM - geen "echt" privacy-risico is geweest.

Oh, maar als de NSA onze persoonsgegevens krijgt, is er vast ook geen "echt" privacy-risico. Dat is immers een geheime dienst van een bevriende natie, dus dan zit het wel goed. Niet melden dus. /s

M.J.

Geen echt risico. Wat is "echt" risico, hoe bepalen we dat "echte" risico, waar leggen we de grens en wie bepaalt die? Niet de NAM, zoveel is duidelijk. Zou mooi zijn dat bedrijven die data lekken zelf wel gaan bepalen wat het risico is, om dan te bepalen of ze een melding maken. Dan zal het risico opvallend vaak erg laag uitvallen. Wat een redenatie zeg haha.

Op 9 maart 2021 maakte de NAM zelf bekend dat er sprake was van een "buitengewoon vervelend lek" in exact hetzelfde gegevensbestand, zo schrijft RTV Noord vandaag. Security.NL berichtte daar vorig jaar over.

https://www.rtvnoord.nl/nieuws/918008/nam-deelde-data-aardbevingsgedupeerden-onterecht-met-ministerie

NAM lekt persoonsgegevens 19.000 gedupeerden aardbevingsschade
woensdag 10 maart 2021, 07:20 door Redactie

https://www.security.nl/posting/693820/NAM+lekt+persoonsgegevens+19_000+gedupeerden+aardbevingsschade

De aanvallers wisten toegang te krijgen tot de FTA-server van de NAM, zo liet de NAM toen op de eigen website weten.

Het ministerie mag dus wel dokken, maar mag geen gegevens krijgen.

De wet "meldplicht datalekken" stelt dat de organisatie een risicoafweging moet maken: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#faq

"Wat is een echt risico?": Als het aannemelijk is dat getroffen personen nadelen gaan ondervinden van het datalek.
"Wie bepaalt dat?": De organisatie die het datalek heeft veroorzaakt" (degene die moet melden indien het wel een hoog risico betreft)
"waar leggen we de grens en wie bepaalt die?": De grens kan je niet vooraf heel concreet specificeren, ieder datalek is in dat opzicht uniek; je kan het het leven helaas niet alles voorspelbaar vastleggen.

Op basis van wat ik hier lees, is er een Excel bestand met het ministerie gedeeld. Ik denk dat het een reële inschatting is dat als je aan een ministerie vraagt om deze gegevens te verwijderen en een ministerie dat toezegt, dat ze dat ook doen. Op basis van wat ik hier lees, is de kans dat deze informatie misbruikt inderdaad erg klein. In dat opzicht zie ik hier weinig problemen.

Meer interessant vind ik de vraag: "Hoe is dat excel bestand met het ministerie gedeeld?" Sturen we dit soort informatie nog steeds via mailtjes naar elkaar toe, of gebruiken we voor privacygevoelige informatie inmiddels systemen die daar wel voor geëquipeerd zijn? Kijk wat er in de Jeugdzorg allemaal is misgegaan met het sturen van gevoelige dossiers via mail. Tijd dat we daarmee stoppen, overheidsinstanties hebben daar inmiddels prima alternatieven voor.

Ik zie hier een probleem met de wet- en regelgeving, als die hier inderdaad zegt dat "wij van WC-Eend mogen beoordelen of er sprake is van ernstig data-lek bij ons van WC-Eend". Voortdurend wordt aan verwerkingsverantwoordelijken het voordeel van de twijfel gegeven, waarmee de data-security van burgers om wiens persoonsgegevens het gaat, buiten spel wordt gezet. In dit geval gaat het kennelijk om gegevens van 19.000 personen. Er zou onderzocht moeten worden of het ministerie deze gegevens daadwerkelijk heeft verwijderd, en zo ja wanneer, en of die gegevens bij het ministerie of een ander deel van de rijksoverheid misschien toch nog voorhanden zijn op een of andere (al dan niet automatische) back-up.

Of dit voldoende onderzocht is, zou beoordeeld moeten worden door de toezichthouder (de AP). Alleen al om die reden had het datalek bij de AP moeten worden gemeld.

Daarnaast speelt in dit verband de vraag of de NAM, die kennelijk met vrij verzendbare excel-bestandjes werkt, zo'n bestand nog (onbedoeld of bedoeld) met andere organisaties heeft gedeeld.

Men blijft elke keer maar doen alsof het om een "incident" gaat dat separaat moet worden bekeken. Maar dit gebeurt aan de lopende band. Het wil bij de overheid en andere verantwoordelijken maar niet dagen dat dit soort datalekken geen "bugs" zijn, maar "features" van de manier waarop Nederland, de EU en grote delen van de rest van de wereld hun "digitalisering" hebben georganiseerd en voor een groot deel ook bewust niet hebben georganiseerd. Als je alleen "bugs"/"incidenten" gaat melden, laat staan dat je ze effectief probeert te voorkomen, dan is dat dweilen met de kraan open.

Zelfs als er wordt gemeld aan de AP, wordt die nog misbruikt, en laat zich misbruiken, als zo'n dweil, die tegelijk als schaamlap dient.

M.J.

Deze analyse klopt met hetgeen in de AVG staat.
Ik zie veel reacties die op grond van een gebrek aan kennis worden gedaan en dan is een inhoudelijke reactie zoals deze wel prettig om te lezen.

Dank hiervoor.

Daarom kan hun handelen getoetst worden door AP of rechter bijvoorbeeld. Er zal altijd na een incident gekeken moeten worden wat er gebeurd is, en of de ernst zodanig is, dan met een datalek moet gaan melden. Wie anders dan de medewerkers binnen een bedrijf moeten die eerste beoordeling maken, welke per definitie vooraf gaat aan een eventuele melding.

De reddende 'Hansje Brinkers' van de luchtmobiele patchbrigade?

https://www.security.nl/posting/750954/D66+wil+patchbrigades+die+bedrijven+helpen+met+dichten+lekken

Het is inmiddels gewoon met de angst voor privacy om degenen die vergoed moeten worden dan wel ergens anders iets herteld moet worden wegens privacy onmogelijk is. De AP beschermt het grootkapitaal niet de burger.

De overheid gaat over de bepaling van de WOZ waarde van huizen. Dus via een andere route zal de overheid ook al (moeten) weten dat de waarde van deze huizen gedaald is.

Gemeentes bepalen de WOZ, niet het ministerie van Economische zaken.

Vandaar dat de AP een richtsnoer publiceert van 39 pagina's dat haarfijn uitlegt hoe je zoiets beoordeelt. De FAQ verwijst ernaar. Iedereen die een oprechte poging doet om te achterhalen hoe je dat moet beoordelen vindt dit moeiteloos. Je kan er veilig van uitgaan dat AP datzelfde richtsnoer gebruikt bij het beoordelen van hoe een organisatie met een datalek is omgegaan, en rekening ermee houdt dat iedere knurft die een klein beetje zijn best doet dat richtsnoer had gevonden.

Dus ja, een organisatie moet zelf beoordelen of ze een datalek melden aan AP en aan de betrokkenen, maar nee, het staat die organisatie niet vrij om zelf maar naar eigen goeddunken in te vullen volgens welke criteria dat wordt beoordeeld. Bedenk dat behalve de organisatie zelf ook iedereen die merkt dat er data is gelekt een klacht of een melding bij AP kan indienen. Een organisatie die besluit het maar voor zich te houden kan er niet van uitgaan dat niemand anders het meldt.

Dit bestand was gedeeld met het Ministerie van economische zaken. De belastingdienst valt onder het Ministerie van financiën. En het zijn grote organisaties, EZ een kleine 8.000 FTE's, Financiën meer dan 30.000. Zelfs als binnen zo'n ministerie de gegevens al bekend zijn kan het door een datalek bij heel andere mensen in hetzelfde ministerie, bij een heel ander onderdeel ervan, belanden, en ook dat is niet de bedoeling.

Richtsnoeren op papier zijn mooi, maar worden - en ik druk me nu voorzichtig uit - vaak niet gevolgd, en vaak al helemaal niet naar de geest ervan. Dat iemand een klacht of melding bij de AP kan indienen, zal in de meeste gevallen weinig indruk maken bij een organisatie die iets onder de pet wil houden, om ten minste drie redenen:

1. Opvallend veel beslissers (zowel in publieke als private organisaties) nemen graag een gokje als dat op de korte termijn makkelijker is. Gemakshalve schatten ze in dat er wel geen haan naar zal kraaien als ze het een beetje slim doen, en meestal hebben ze daarin ook gelijk in een land als Nederland. "Prinzipienreiter" zijn over het algemeen niet geliefd in organisaties. Ook niet als ze FG (Functionaris Gegevensbescherming) of PO (Privacy Officer) zijn. Klokkenluiders worden in Nederland nog altijd niet beschermd, maar verliezen bijna altijd hun baan en loopbaanperspectief. Dat weten personeelsleden. Daarnaast zijn er allerlei manieren om "plausible deniability" te creeëren, met andere woorden, als er een keer iets uitkomt, kan er geen persoon als schuldige worden aangewezen. De boete die een organisatie eventueel zou moeten betalen, doet in veel gevallen geen enkele medewerker van die organisatie pijn.

2. De AP gaat over het algemeen zeer mild om met overtreders. Als het even kan, worden die door de AP uit de wind gehouden. De AP heeft niet de houding "we gaan er zo stevig mogelijk in", maar de houding "we gaan er niet stevig in, en dan weten we dat de rechter ons dekt". Je kan er dus absoluut niet "veilig van uitgaan" dat de AP de in het richtsnoer genoemde criteria eerlijk en effectief gebruikt bij het beoordelen van datalekken en hoe daarmee is omgegaan. Ik heb zelf mogen zien hoe de AP "een draai" kan geven aan regulerende bepalingen. Als je dat eenmaal een paar keer gezien hebt, blijft er van je vertrouwen in de AP weinig over.

3. De AP gaat vaak zeer onprettig om met melders. In de praktijk (in tegenstelling tot nobele uitlatingen in de pers) lijkt de basishouding van de AP te zijn dat melders lastig zijn en zo min mogelijk moeten worden geholpen. Er is ook een enorme achterstand in het behandelen van meldingen. Het "prioriteringsbeleid" van de AP bij meldingen wordt gebruikt om sommige meldingen om onduidelijke redenen af te serveren. Dat weten verwerkingsverantwoordelijken (organisaties).

Dus prachtig, die 39 pagina´s in een papieren richtsnoer, maar die zeggen niets. Soms helpt publiciteit om de AP in beweging te krijgen, maar dat is dus iets heel anders dan dat "richtsnoer". Get real, alsjeblieft.

M.J.

Richtsnoeren op papier zijn mooi, maar worden - en ik druk me nu voorzichtig uit - vaak niet gevolgd, en vaak al helemaal niet naar de geest ervan. Dat iemand een klacht of melding bij de AP kan indienen, zal in de meeste gevallen weinig indruk maken bij een organisatie die iets onder de pet wil houden, om ten minste drie redenen:

1. Opvallend veel beslissers (zowel in publieke als private organisaties) nemen graag een gokje als dat op de korte termijn makkelijker is. Gemakshalve schatten ze in dat er wel geen haan naar zal kraaien als ze het een beetje slim doen, en meestal hebben ze daarin ook gelijk in een land als Nederland. "Prinzipienreiter" zijn over het algemeen niet geliefd in organisaties. Ook niet als ze FG (Functionaris Gegevensbescherming) of PO (Privacy Officer) zijn. Klokkenluiders worden in Nederland nog altijd niet beschermd, maar verliezen bijna altijd hun baan en loopbaanperspectief. Dat weten personeelsleden. Daarnaast zijn er allerlei manieren om "plausible deniability" te creeëren, met andere woorden, als er een keer iets uitkomt, kan er geen persoon als schuldige worden aangewezen. De boete die een organisatie eventueel zou moeten betalen, doet in veel gevallen geen enkele medewerker van die organisatie pijn.

2. De AP gaat over het algemeen zeer mild om met overtreders. Als het even kan, worden die door de AP uit de wind gehouden. De AP heeft niet de houding "we gaan er zo stevig mogelijk in", maar de houding "we gaan er niet stevig in, en dan weten we dat de rechter ons dekt". Je kan er dus absoluut niet "veilig van uitgaan" dat de AP de in het richtsnoer genoemde criteria eerlijk en effectief gebruikt bij het beoordelen van datalekken en hoe daarmee is omgegaan. Ik heb zelf mogen zien hoe de AP "een draai" kan geven aan regulerende bepalingen. Als je dat eenmaal een paar keer gezien hebt, blijft er van je vertrouwen in de AP weinig over.

3. De AP gaat vaak zeer onprettig om met melders. In de praktijk (in tegenstelling tot nobele uitlatingen in de pers) lijkt de basishouding van de AP te zijn dat melders lastig zijn en zo min mogelijk moeten worden geholpen. Er is ook een enorme achterstand in het behandelen van meldingen. Het "prioriteringsbeleid" van de AP bij meldingen wordt gebruikt om sommige meldingen om onduidelijke redenen af te serveren. Dat weten verwerkingsverantwoordelijken (organisaties).

Dus prachtig, die 39 pagina´s in een papieren richtsnoer, maar die zeggen niets. Soms helpt publiciteit om de AP in beweging te krijgen, maar dat is dus iets heel anders dan dat "richtsnoer". Get real, alsjeblieft.

M.J.

AP: "U hoeft niet alle datalekken te melden. De privacywet eist dat organisaties een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeert u alleen als er sprake is van een hoog risico."

Gedeeld (/gelekt) met de overheid!?
De belastingdienst had ook een (zwarte) lijst waar je op werd gezet als je -jaloerse- buurman anoniem doorgaf dat het financieel gezien niet zo netjes in elkaar zat bij jouw.
Conclusie: hoog risico als er data wordt gelekt/gedeeld met de overheid!