Blaauw geeft aan dat het lek bij hun IT leverancier heeft plaatsgevonden. Nergens te vinden welke IT leverancier aan wordt gerefereerd. Weet iemand dat? Is het nebu.com?

Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk

Op de Ons Team pagina geeft men aan over eigen systeembeheerders te beschikken. Het IP-adres van hun website leidt naar een colocatie site van Trans-IP in Amsterdam. Of er nog een IT leverancier tussen zit is niet direct duidelijk.

Ook ik zit mijn geld in op NEBU, bijzonder dat Blauw dit niet bevestigd.

archive.org is wellicht een bron. Ze zullen alle huidige referenties wel verwijderd hebben van hun communicatie. Ik kwam o.a. satmatrix tegen. En verder online communities (zonder referentie.) Iemand met meer tijd kan wellicht archive.org doorzoeken.

Blauw op Zwart dus... zwart van zwarte lijst.

Mee eens. We hebben hier veel overbodige wet en regelgeving, maar dat zou misschien beter verboden kunnen worden.

Blauw geeft aan op de eigen website dat het NEBU is.

En dan krijg ik net om 13.00uur een vragenlijst via de mail van ze....erg tactisch...

Inderdaad Nebu. Wel bijzonder dat deze partij geen melding maakt van een datalek of hack.

Waarom gehoor geven om hieraan mee te werken, als ik die link ziet ga ik daar echt niet mee in.

Maar nu het NEBU is, dan is probleem toch veel groter op www.nebu.com staat dat ze 125 clients hebben. Dan gaat het AP het nog druk krijgen ;-)

(Al zitten de klanten van NEBU blijkbaar over de hele wereld).

Dat is heel normaal. daar zijn verwerkersovereenkomsten voor. dacht je werkelijk dat je gegevens alleen toegankelijk zijn voor het bedrijf waar je ze aan geeft? Zeer waarschijnlijk zullen veel meer bedrijven met de data werken in opdracht van het bedrijf waar jij de gegevens achter laat. marketing bureaus of onderzoeksbureau.

Deze opmerking is belachelijk. Dit gebeurt met (bijna) alle data. Denk aan hosting en housing partijen. Je wilt toch niet dat elk bedrijf weer een servertje in de schuur zet. Iets meer nadenken, iets minder emotioneel

Ik kom er pas vandaag (via de krant!!) er achter dat mijn gegevens van BOL.COM mogelijk ook in handen van de verkeerde partij terecht zijn gekomen. Daarom heb ik voor alle zekerheid mijn (unieke) wachtwoord veranderd. Ik raad iedereen met een BOL.COM account het zelfde te doen. Van BLAUW kan je namelijk alleen maar verwachten dat ze hun kaken voor de klanten dichthouden.

De olifant in de kamer is de vraag hoe lang er nog sprake is van een (AVG-) "gerechtvaardigd belang" om -zonder mijn expliciete toestemming- mijn gegevens met welke derde partij dan ook te delen - indien die gegevens vervolgens (met welk excuus dan ook) op straat belanden.

Hoe zit het met MIJN gerechtvaardigde belangen?

De AVG zuigt.

Ik dacht al dat het met twee niveaus van uitbesteding wel eens veel groter zou kunnen zijn dan alleen NS. Nu dient zich een tweede klant van Blauw aan, en dat kunnen er meer worden, maar als Blauw niet de enige afnemer is van deze softwareleverancier voor deze software (as a service, neem ik aan) dan kan het nog veel en veel groter blijken te zijn.

Volgens BLAUW zijn er 14 partnerbedrijven slachtoffer van het datalek.
Maar van die 14 worden er in het artikel maar 6 genoemd.

Wie zijn die andere partners waar wij nog niets van weten?

Exact. Het maakt misbruik van persoonsgegevens kinderlijk eenvoudig legitiem.

Ik denk dat het beter is dat - hoewel bedrijven zeggen niet getroffen te zijn - toch maar even de wachtwoorden veranderd moeten worden.

Dit is het gevolg van een ondoorzichtige keten. Je geeft je leverancier toestemming om bijvoorbeeld je data te gebruiken voor onderzoek. Dan komt dat bij een 3e partij diende data bij een 4e partij heeft staan, en met een beetje pech zit dat ook weer in Azure of AWS wat weer een 5e partij is.

En als eindgebruiker kan je niemand aansprakelijk stellen voor de tijd en kosten die het kost om van e-mail adres te wisselen.

Dit staat los van de verwerkingsgrondslagen. Dit gaat om onderzoeken onder klanten die NS en VodafoneZiggo zelf mogen uitvoeren maar hebben uitbesteed aan Blauw. Voor de AVG zijn dit verwerkingsverantwoordelijken die een deel van hun verwerking aan een verwerker hebben uitbesteed. Dat mag, met een goede verwerkersovereenkomst, maar daarmee besteden ze hun verantwoordelijkheid voor de verwerking niet uit.

Die zijn geschonden. Die zouden ook zijn geschonden als er helemaal niets was uitbesteed en het lek bij NS en VodafoneZiggo zelf had plaatsgevonden. Met een dikke maar die zo komt.

Wat zuigt is (en dat is de dikke maar) dat werk steeds meer zo wordt georganiseerd dat het bij grote partijen geconcentreerd raakt. Bij Blauw zijn verwerkingen voor NS en ZiggaVodafone en mogelijk nog ettelijke andere bedrijven samengekomen en samen fout gegaan. O nee, het is misgegaan bij een "softwareleverancier" van Blauw die kennelijk niet de software levert maar de data ontvangt en verwerkt, dat zal wel SaaS of zoiets zijn. Daar kunnen weer verwerkingen van meer partijen zoals Blauw bij elkaar komen. Wie weet hoe enorm dit lek nog zal blijken te zijn. Dát zuigt.

De AVG stelt dat technische of organisatorische maatregelen moeten worden genomen om een passend beveiligingsniveau te waarborgen. Dat is bewust een heel open formulering die dient om te voorkomen dat de AVG achterhaald raakt waar je bij staat. Het is de bedoeling dat organisaties maatregelen nemen die passen bij wat op dat moment de risico's zijn. Ik denk dat een werkwijze met hele ketens van uitbestede verwerkingen, en het bij elkaar komen van veel van die verwerkingen op plekken waar het dan heel in het groot mis kan gaan, een risico vormt. Zo'n werkwijze kan je dus niet bepaald een organisatorische maatregel die helpt om een passend beveiligingsniveau te waarborgen, integendeel. Maar dan is deze werkwijze in strijd met de AVG. Als dit geen incident is maar een patroon gaat blijken te zijn (wat mij niets zou verbazen) dan zou dat wel eens het standpunt van de toezichthouders kunnen worden en dan kunnen bedrijven daarop aangepakt gaan worden.

Of dat ook werkelijk gebeurt, op precies deze manier gebeurt, en hoe lang dat dan op zich laat wachten weet ik natuurlijk niet. Maar in de AVG is doelbewust de mogelijkheid ingebouwd om met de praktijk mee te groeien, dus het zou kunnen gebeuren. Dat zuigt niet, dat is juist sterk. We lopen nog steeds achter de feiten aan, maar veel minder ver dan wanneer telkens wetswijzigingen nodig zijn voor wetten die veel te expliciet de techniek en organisatiekeuzes van het moment beschrijven.

Dat het normaal is betekend niet dat het goed is.
Gegevens worden aan de NS of Ziggo verstrekt niet een niet aan een onbekend bedrijfje waar een leverancier van de NS/Ziggo gebruik van maakt.

Waar staat dat dan?
"Albert Heijn, Etos, bol.com en Vattenfall zijn ook klant bij Blauw, maar laten weten niet getroffen te zijn door het datalek. Datzelfde geldt voor de Efteling, Marktplaats, Thuisbezorgd.nl en ESPN."

https://www.ad.nl/tech/vodafoneziggo-persoonsgegevens-van-ongeveer-700-000-klanten-gelekt~a4648bc1/

Dat is wat ze ZEGGEN, maar niet of het feit wel KLOPT!

Het heeft niets met linkjes van doen. Ziggo heeft de adressen aan Blauw gegeven en daar komt geen link aan te pas.

Blauw is gewoon een 'onbetrouwbaar' bedrijf omdat hun claims niet te controleren zijn. Ik heb de afgelopen jaren ook diverse mailtjes van Blauw gehad waarbij ze claimen namens ziggo een enquête te versturen. De linkjes in de mail hebben echter geen relatie met Blauw. En ook op de Ziggo site wordt Blauw niet genoemd als bedrijf dat namens Ziggo mailtjes verstuurt.

Vanwege het oncontroleerbaar zijn, heb dus nooit op mail van Blauw gereageerd en toch kreeg ik vandaag van Ziggo de mail dat mijn mailadres gelekt was.

Noemden ze echt alleen het emailadres?

Dank voor het uitgebreide juridische perspectief, maar het doel van de AVG -lijkt mij- is voorkómen dat persoonsgegevens in verkeerde handen vallen - en keer op keer lukt dat niet - trend de verkeerde kant op. De risico's zijn minimaal voor de dataverzamelaars en -delers, en maximaal voor degenen wiens gegevens worden gelekt - terwijl het voor burgers aantonen, ten overstaan van een kudde dikke Audi-rijdende dure advocaten, dat geleden schade het gevolg is van een specifiek datalek, nagenoeg onmogelijk is. Precies daarom zuigt de AVG.

Briolet schiet er helemaal niets mee op dat er in de verre toekomst heel misschien iets minder datalekken zullen zijn "dankzij de AVG". Maar zelfs dat geloof ik niet: verzamelingen van persoonsgegevens worden groter en groter, en "dankzij" initiatieven als de EU ID Wallet (EDIW) zullen gelekte gegevens aanzienlijk betrouwbaarder worden (want digitaal ondertekend door vadertje staat), zijn daardoor wellicht nóg geschikter om identiteitsfraude mee te plegen, en zijn gegevens nóg beter koppelbaar (want aangevuld met het Europese BurgerSurveillanceNummer).

Zelfs klanten informeren is een farce (zie https://www.security.nl/posting/791049/Consumentenbond%3A+waarschuwingen+bij+datalekken+vaak+onduidelijk).

De huidige AVG is een laf compromis, te vaag, too little en too late, met tandenloze handhavers (die, als ze hun mond open doen naar bijv. VWS, gewoon de landsavocaat op hun dak krijgen). En aan stoffige wetten die stellen dat data van niemand is omdat het geen "goed" is (alsof informatie niet het nieuwe goud is), hebben we ook al niks. Laten we vooral doorgaan op de ingeslagen weg van ontmenselijken...

On the Nebu website:

"Nebu is now ISO 27001 certified
Nebu has been recognized as an ISO 27001 certified company. We have taken all the necessary measures to ensure your data is well-protected and to meet the highest internationally acknowledged security standard"

So many companies throwing with these certifications while their security is worthless. Worrying!

Niet expliciet, zie onderstaande quote uit de mail. Maar gezien het doel waarom Blauw de gegevens kreeg is het wel aannemelijk dat het hier alleen om de naam en mailadres ging. Meer had Blauw niet nodig voor de mailing.

Vandaag kreeg ik een Phishing email van "Bitvavo", alwaar ik geen eens een account heb, maar pas dus op, dat kan dus een direkt gevolg zijn van dat onzorgvuldig omgaan met gegevens.

Precies! Daar zit 'm de kneep. Wiens rechtvaardig belang, meestal niet de gebruiker en heeft vaak nog minder keuze.