Privacy - Wat niemand over je mag weten

Verwerkingsregister banken

27-01-2023, 17:42 door Anoniem, 6 reacties
In https://www.security.nl/posting/782999/NS+laat+treinreizigers+vanaf+31+januari+met+contactloze+betaalpas+inchecken wordt het sterke vermoeden gewekt dat banken een negatief saldo doorgeven aan translink, ook voor mensen die niet met het ov reizen.

Gelukkig biedt de AVG ons de mogelijkheid dit eenvoudig te verifieren: het verwerkingsregister.

Helaas blijkt deze voor onze banken wat moeilijk te vinden.

Gelukkig zijn veel lezers van security.nl digitaal zeer vaardig, dus:

Iemand een idee waar ik een verwerkingsovereenkomst van een nederlandse bank kan vinden?
Reacties (6)
28-01-2023, 08:22 door Anoniem
Je gaat van verwerkingsregister naar verwerkingsovereenkomst. Dat is niet hetzelfde.

Zowel verwerkingsverantwoordelijken als verwerkers zijn verplicht een register van verwerkingsactiviteiten bij te houden. Artikel 30 van de AVG gaat daarover. Daarin staat niet dat dat register openbaar is, maar dat het desgevraagd aan de toezichthoudende autoriteit ter beschikking moet worden gesteld. Ik denk niet dat je het online gaat vinden.

Een hoop van wat in dat register staat moet ook aan jou als betrokkene bekend worden gemaakt, zie artikelen 13, 14 en 15 van de AVG, maar hoewel het overlapt is dat niet identiek aan het verwerkingsregister.

https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
28-01-2023, 11:20 door Anoniem
Door Anoniem: Iemand een idee waar ik een verwerkingsovereenkomst van een nederlandse bank kan vinden?

Zoals een eerdere poster al opmerkte, je zult geen verwerkersovereenkomsten kunnen vinden.
Die worden normaal gesproken afgesloten tussen de (in dit geval) bank en enig bedrijf dat voor die bank met die data iets moet doen. bv een analyse.

Heel kort door de bocht: Hierin wordt er afgesproken dat de "verwerker" de data mag gebruiken, maar dat de bank eigenaar en eindverantworodelijke blijft. En dat de verwerker datalekken direct bij de bank meldt, omdat die dat weer moet doorgeven aan het AP.

Maar als je wilt weten wat de bank allemaal met je data doet en met wie ze die deelt:
Heb je al de moeite genomen om (schriftelijk) aan de bank te vragen wat zij allemaal van jouw verwerken en aan wie ze allemaal "jouw data" beschikbaar stellen.
Dat is de kortste route.
28-01-2023, 13:50 door Anoniem
Kan een systeembeheerder potentieel bij raw data via dumps of backups , buiten de auditing om? Om deze te delen aan een 'alien state actor' of 'hostile/friendly ' state actor in andere termen (take your pick)

Zijn systeembeheerders niet best wel interessant voor deze Actoren of is dit een potentieel schizofrene gedachte? ;)

Want: lijkt mij dat auditing voornamelijk voor user level is. Om komende en gaande stromen van ingehuurde werkkrachten te loggen als ze iets over iemand opvragen.. dit geld voor alle databases van de overheid, de zorg, de telecom bedrijven eigenlijk....... interessant niet waar ? Vraag mij af of iemand hier ooit al eens serieus over nagedacht heeft? ;)
28-01-2023, 19:30 door Anoniem
Door Anoniem: Kan een systeembeheerder potentieel bij raw data via dumps of backups , buiten de auditing om? Om deze te delen aan een 'alien state actor' of 'hostile/friendly ' state actor in andere termen (take your pick)

Zijn systeembeheerders niet best wel interessant voor deze Actoren of is dit een potentieel schizofrene gedachte? ;)

Want: lijkt mij dat auditing voornamelijk voor user level is. Om komende en gaande stromen van ingehuurde werkkrachten te loggen als ze iets over iemand opvragen.. dit geld voor alle databases van de overheid, de zorg, de telecom bedrijven eigenlijk....... interessant niet waar ? Vraag mij af of iemand hier ooit al eens serieus over nagedacht heeft? ;)

Uiteindelijk kan een systeembeheerder bij heel veel.
Hij/zij kan root passwords wijzigen en beheren. Dus als hij/zij echt wil...

Maar daar heb je dan weer integriteitsverklaringen voor. En encryptie. En het 4-ogen principe. etc etc etc
Als een bedrijf e.e.a. goed inricht, dan zal er zo snel niet veel fout gaan.
(Dus niet zoals bij het Hof van Twente of Diginotar)

En er lopen niet allemaal Snowdens rond, die data van de baas meenemen en aan andere doorspelen. vanwege welke overtuiging dan ook.
29-01-2023, 03:52 door Anoniem
Door Anoniem: Kan een systeembeheerder potentieel bij raw data via dumps of backups , buiten de auditing om? Om deze te delen aan een 'alien state actor' of 'hostile/friendly ' state actor in andere termen (take your pick)

Zijn systeembeheerders niet best wel interessant voor deze Actoren of is dit een potentieel schizofrene gedachte? ;)

Want: lijkt mij dat auditing voornamelijk voor user level is. Om komende en gaande stromen van ingehuurde werkkrachten te loggen als ze iets over iemand opvragen.. dit geld voor alle databases van de overheid, de zorg, de telecom bedrijven eigenlijk....... interessant niet waar ? Vraag mij af of iemand hier ooit al eens serieus over nagedacht heeft? ;)
Je lijkt het woord auditing te gebruiken voor het loggen van dingen. Maar een audit is het controleren van een organisatie, inclusief de IT die een organisatie gebruikt, maar ook inclusief hoe men het beheer en de toegang daarvan heeft ingericht. Dus ook wat een systeembeheerder doet, mag en kan wordt doorgelicht tijdens een audit.

Dat iemand met veel rechten op de systemen van een organisatie interessant kan zijn voor kwaadwillenden is zeker geen rare gedachte. Niet alleen voor statelijke actoren, denk ook aan georganiseerde misdaad. Ik heb voor een bedrijf gewerkt waar veel te halen was waar het voorkwam dat georganiseerde misdaad mensen via uitzendbureaus het bedrijf in probeerde te krijgen. Kennelijk ook wel eens met succes, want ik heb daar uit de eerste hand gehoord hoe iemand een vervalste opdracht die veel geld had kunnen kosten, compleet met een overtuigend nagemaakte handtekening van het hoofd van de directie eronder, via de interne post had ontvangen. De bedrijfscultuur was daar niet dat mensen bij een hint van de grote baas meteen gingen rennen om te zorgen dat het voor elkaar kwam, maar nadachten en vragen stelden. Één vraag aan het hoofd van de directie maakte meteen duidelijk dat die de opdracht niet had gegeven, en die werd dus niet uitgevoerd maar daar werd de politie bijgehaald — met uiteindelijk een spectaculaire ontknoping in een ander land waarbij de criminelen in een val liepen die voor hun was uitgezet.

Zulke dingen gebeuren dus echt, en mensen met veel rechten op IT-systemen zijn natuurlijk interessant. Maar aangezien alles tegenwoordig via netwerken met elkaar verbonden is, en vaak in de cloud staat, is het veiliger en eenvoudiger voor de criminelen en statelijke actoren om met phishing, malware en hacks ergens virtueel binnen te komen dan om het via fysieke aanwezigheid. Maar een corrupte systeembeheerder is een mogelijkheid die je ook weer niet moet uitsluiten.

Een manier om risico's te verkleinen is om zo min mogelijk mensen vergaande rechten te geven op systemen. Er zijn diverse systeembeheertaken. Maak daar specialisaties van en geef mensen alleen de rechten die ze voor hun taken nodig hebben. Wie een OS installeert hoeft geen rechten binnen een DBMS te hebben, bijvoorbeeld, en vice versa. Er kan, zoals al genoemd is, met het vierogenprincipe gewerkt worden: organiseer het werk zo dat taken altijd door twee mensen worden uitgevoerd. Daar kan je ver in gaan als het moet: taken waar volledige rechten op een systeem voor nodig zijn kunnen alleen uitgevoerd worden vanuit een ruimte waar nooit alleen gewerkt mag worden. In andere ruimtes is de benodigde toegang simpelweg niet beschikbaar. Controleer actief dat mensen in die ruimte ook echt nooit alleen werken. Dan heb je twee rotte appels nodig die samenwerken voordat het misgaat.

Behalve technische en organisatorische maatregelen is ook de bedrijfscultuur een factor, zoals mijn voorbeeld van de vervalste opdracht illustreert. Het helpt enorm als een organisatie bedachtzaamheid stimuleert, kritische vragen waardeert, als de sfeer en werkwijze ernaar is dat mensen goed van elkaar door krijgen wat ze aan elkaar hebben. Een bedrijf dat hart voor zijn medewerkers heeft levert medewerkers met hart voor de zaak op. Dat vergroot de kans dat dingen die niet kloppen aan het licht komen en aangepakt kunnen worden aanzienlijk, want medewerkers met hart voor de zaak kan het echt wat schelen als ze iets niet goed zien gaan, en onderschat niet hoe veel er wordt opgemerkt door betrokken medewerkers. Niet alles, maar wel veel.

Je vraagt je af of iemand ooit al serieus heeft nagedacht over dit soort dingen. Reken maar dat daarover wordt nagedacht, en dat gebeurt al veel langer dan wij leven en dan er geautomatiseerd wordt, want problemen met criminaliteit en onbetrouwbare medewerkers zijn van alle tijden. Maar dat wil niet zeggen dat er altijd en overal goed over wordt nagedacht, en de niet aflatende druk om altijd maar dingen goedkoper te doen en uit te kleden tot het minimum dat nodig is om het draaiende te houden werkt ongelukken in de hand: feitelijk gaan organisaties onder dat minimum zitten en komen ze daar pas achter als ze een keer goed op hun bek gaan. Dat gaat ook in het groot mis: de problemen met supply chains door de Covid-pandemie zijn daar een voorbeeld van.
29-01-2023, 10:33 door Tintin and Milou
Door Anoniem: In https://www.security.nl/posting/782999/NS+laat+treinreizigers+vanaf+31+januari+met+contactloze+betaalpas+inchecken wordt het sterke vermoeden gewekt dat banken een negatief saldo doorgeven aan translink, ook voor mensen die niet met het ov reizen.

Gelukkig biedt de AVG ons de mogelijkheid dit eenvoudig te verifieren: het verwerkingsregister.

Helaas blijkt deze voor onze banken wat moeilijk te vinden.

Gelukkig zijn veel lezers van security.nl digitaal zeer vaardig, dus:

Iemand een idee waar ik een verwerkingsovereenkomst van een nederlandse bank kan vinden?

Ik lees dit alleen onder enige onderbouwing. Dit lijkt mij ook erg onwaarschijnlijk ivm alle privacy maatregelen die bestaan.
Het is ook niet te lezen in bijvoorbeeld de privacy verklaringen, wat toevallig een anoniem al heeft uitgezocht.

Het zou functioneel en technisch ook helemaal niet noodzakelijk zijn voor deze dienst. Je kunt namelijk gewoon rood staan zonder consequenties, immers dit is best heel normaal voor vele Nederlanders. Zolang Translink maar kan incasseren maakt het helemaal niet uit of je rood staat.

Ik heb zeer ernstig het vermoeden dat er verkeerde aannames gedaan worden, op basis van het NRC artikel.

Door Anoniem:
Door Anoniem: Wat ik wel zorgelijk vind is dat banken Translink elke 3-5 minuten informatie sturen over klanten die rood staan, geen geldige rekening hebben, of om andere redenen niet met betaalpas mogen reizen.
Voor zover ik zie is het uitsluitend het artikel in NRC (en mensen die eraan refereren) dat die drie tot vijf minuten noemt en het sturen van informatie over klanten die rood staan.

Afgaande op de privacyverklaring van OVpay distribueert Translink een signaleringslijst van te weigeren passen naar de vervoerbedrijven, en komen passen om twee redenen op die lijst terecht:
• de pas staat op een signaleringslijst van de bank of creditcardmaatschappij met geblokkeerde passen;
• het is niet gelukt het dagtotaal van de met de pas gemaakte reizen af te schrijven.
Dat impliceert dat Translink wel lijsten met geblokkeerde passen doorkrijgt, maar dat ze rood staan niet doorkrijgen, ze komen er zelf achter dat een afschrijving niet lukt. Die blokkade is trouwens tijdelijk, die wordt opgeheven zodra de rekening is betaald.

https://ovpay.nl/files/original/2207029-privacy-verklaring-translink-v1.01.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.