Waren dit anonieme enquetes?

Nog slechter is dat NeBu onbereikbaar is, en dat iedere poging om een te zien hoe groot het datalek nu precies is de telefoon op de haak gaat.

Waar rook is is vuur, maar ik ben bang dat het hier om een hele grote brand gaat.

Ik lees dat er van diverse bedrijven een deelverzameling van de accounts ('niet alle') is gelekt, maar ik weet nog steeds niet of deze deelverzameling uitsluitend deelnemers aan klanttevredenheidsonderzoek betreft.

Heeft iemand al een kennisgevingsmail gehad van een organisatie/bedrijf ontvangen die daar wat over loslaat?

Ze zullen wel een boete krijgen. Van 500 euro ofzo. Dat zal ze leren!

Zouden de hackers via de Nederlandse Nebu (Beun) ook gegevens van buitenlandse vestigingen van de firma gejat hebben? Dus via hier gewoon alle data van het hele bedrijf met alle vestigingen wereldwijd op een mega usb stick gezet hebben?

Ja daar zal vast in staan dat het verwerken zo zorgvuldig mogelijk moet gebeuren en dat de data niet mag worden
doorverkocht ofzo. Maar er al vast ook NIET in staan dat als een partij in de keten de oorzaak is van het op straat komen
van de data, deze partij verantwoordelijk is voor het vergoeden van eventuele schade, of een vaste vergoeding per geval
voor eventuele schade.
Dus uiteindelijk zal deze affaire als een nachtkaars uitgaan. "sorry, had niet mogen gebeuren, we gaan het allemaal
beter doen". Maar wel zou het kunnen dat de bereidheid om mee te doen aan marktonderzoeken (of om een bedrijf
toestemming te geven de persoonsgegevens te gebruiken voor marktonderzoek) even flink naar beneden gaat.
En ook zal het me niet verbazen als Blauw en Nebu over een paar maanden ineens een frisse nieuwe naam hebben!

Er wordt gesteld dat bij VodafoneZiggo van 700.000 klanten data is gelekt en bij NS nog meer. Ik kan me niet voorstellen dat er zoveel mensen een of andere enquete hebben ingevuld (ik negeer dit soort verzoeken altijd), of verstrekken deze organisaties gewoon een hele rits klantgegevens aan de marktonderzoeker die dan benaderd worden vanuit deze partijen? Dan werk je dit soort misstanden wel in de hand lijkt me. Als ik bijvoorbeeld het privacystatement van Ziggo kijk (https://ziggo-main.aem.aws.ziggo.io/content/dam/ziggo/voorwaarden/privacy/Privacy-Statement-VFZ-NED-20220801.pdf)dan lees ik het volgende mbt gebruik van de data: Het uitvoeren van marktonderzoek staat hier niet bij (dit lijkt me niet onder de kopjes wettelijke verplichting, gerechtvaardigd belang of uitvoering overeenkomst vallen). Dus vraag ik me af: hebben deze mensen allemaal toestemming gegeven voor deze marktonderzoeken? Het lijkt mij vrij onaannemelijk (al zal ik zelf niet representatief zijn vermoed ik).

Ik zou bij meerdere bedrijven geraakt kunnen zijn maar van geen enkel bedrijf een mail ontvangen. Ik doe nooit mee aan klanttevredenheidsonderzoeken.

Onderzoekburo koopt/licenceert software van softwaremaker tbv klanttevredenheidsonderzoek.
Naar analogie koopt/licenceert huisartsenpraktijk software tbv clientenregistratie van softwaremaker.
Via ArboNed liggen nu dus medische gevens op straat...
Hoe/waarom komen in vredesnaam ALLE klant- resp. clientgegevens bij de softwaremakers, die op deze wijze als reusachtige databrokers kunnen acteren?
Welke prutsers hebben hier niet op zitten letten?

Nee, maar heb al wel een paar grote partijen gesproken die aangeven dat hun persafdeling mailings gaat sturen. Iedereen is nog druk aan het inventariseren of ze niet ergens aan de onderkant aan het koppelen zijn met die partij.

Ook gehoord dat Nebu overgenomen is door een partij in Hongarije, en dat de shit daarna begon.
Je kan in ieder geval dat ISO 270001 wel in de plee gooien.

Ze gebruiken de gegevens uit de enquête om hun diensten te "verbeteren" en dat vinden ze een gerechtvaardigd belang en dus vinden ze dat ze geen toestemming hoeven te vragen.

Zo gaat het inderdaad vaak genoeg. Let de volgende keer bij het negeren eens op wie het eigenlijk verstuurd heeft.

Ik denk dat ze gerechtvaardigd belang kunnen gebruiken om de eigen klanten voor dit soort dingen te benaderen, en dat het uitbesteden van het feitelijke werk en de gegevensverwerking daarvoor helemaal los staat van de verwerkingsgrondslagen. Als jij bij een webwinkel een bestelling doet dan mogen ze de bezorging ervan uitbesteden aan PostNL of zo zonder jou om toestemming daarvoor te hoeven vragen. Dan krijgt PostNL jouw naam en adres en dan zorgt PostNL voor berichten over wanneer het bezorgd wordt. Uitbesteden mag. Ik denk dat dat hier niet anders is.

Nee Canadees: https://www.nebu.com/press-release/enghouse-systems-acquires-nebu

Ze melden niet eens iets op hun site. Wat een arrogantie. Hoop dat het failliet gaat.

Bij Blauw lees ik o.a. dat de belastingdins en de overheid ( welke diensten) ook klant zijn,
Evenals ABN AMRO,ING etc.
Dit wordt een groot lek.
Op de site van blauw wordt niets gemeld.
Wel een wervende tekst dat ze zo goed zijn.

Misschien kan het AP dan wat meer mensen inhuren.


Een half jaar wacht je bij hun op een reactie, heb ik gehoord.


Ik roep al jaren. Het BSN moet veranderbaar worden. Maar eerst moeten ambtenaren het zelf voelen.

De burger wordt al jaren genegeerd, getreiterd, platgespoten.

Er zijn mensen die al alles kwijt hebben en niks te verliezen hebben

Tijd voor leaks dus... En een andere overheid. Een die ons wel respecteerd

Tic toc

Natuurlijk is het lek veel groter. Het hele Microsoft ecosysteem gebruikt het, het is namelijk gebaseerd op ouderwetse Microsoft technologie. Je ziet visual basic/asp er doorheen spatteren.
Volgens Nebu: Our values -> Open/Transparent https://www.nebu.com/nebu-values Niet dus!
DIt bedrijf verdien maar 1 ding door haar leugens en dat is faillissement

Ze zijn onderdeel van een Canadees bedrijf: Enghouse. Nebu heeft naast het hoofdkantoor in Wormerveer wel ook een vestiging in Hongarije waar de onwikkeling (van software, neem ik aan) voor het grootste deel zou gebeuren.
https://www.computable.nl/artikel/nieuws/security/7487605/250449/datalek-softwarebedrijf-nebu-pijnigt-marktonderzoekers.html

Ik vraag me af hoeveel van Nebu nog bestaat. Nebu is in 2021 overgenomen door Enghouse Systems, en overnames staan niet bekend als vriendelijk voor het personeel. Het is ook opvallend dat er geen nieuwe blog Posts en pers releases meer zijn geweest nadat Nebu is overgenomen.

Vraag mij af of er nog iemand in het bedrijf bestaan die ook maar enig idee heeft hoe het het pakket en alles erachter in elkaar steekt, of weet hoe de communicatielijnen lopen…

Ik heb een brief gehad van Stadgenoot, die samenwerkt met USP Marketing Consultancy. Er staat feitelijk niks concreets in. "Het zou kunnen dat...", "Mogelijk is daarbij een aantal van uw persoonsgegevens gelekt. Denk daarbij aan naam, emailadres en telefoonnummer"

Maar hoe te vinden?
https://www.blauw.com/nl/datalek-leverancier

Het BSN is een nietszeggend nummer om persoonsverwisselingen in administraties te verminderen.
Dat er een zo'n opgeblazen betekenis aan gehangen wordt is de grootste onzin.
Jouw DNA namen met je afkomst staat je leven lang vast. Als je je druk maakt over privacy moet je het beter doen.
Kan zijn dat je z'n fout figuur bent zonder verantwoordelijkheid of plichtsbesef naar anderen. In dat geval, zeur niet.

Ton nu toe zie ik enkel web-based opens source technologie waar het om gaat.
Internet en open source in niet ontworpen voor veiligheid. Security ontbreekt by design. Contracten bestaan daar niet.

Wat ik niet begrijp is:
- het gaat om marktonderzoek
- Voor marktonderzoek moet een beperkte set aan gegevens aan de onderzoekers gegeven worden.
- Bij de datalek meldingen lijkt niemand te weten welke gegevens aan de onderzoekers gegeven zijn.
Hoe kan het de eigenaar van de data niet weet welke data hij overhandigd heeft?
Alles wat buiten de deur staat kan door de betreffende verwerker gelekt worden.

Het gaat vermoedelijk via gerechtvaardig belang een onderzoek naar bestaande en voormalige klanten. Gehele verzameling is inzichtelijk voor onderzoeker waarbij de onderzoeker de omvang bepaald en een steekproef van de data gebruikt.
Dus je hoeft alleen maar klant te zijn (geweest) bij een van de bedrijven.
De data zal veelal contact info zijn, naast data die relevant is voor de onderzoeker om selectie te bepalen.

Al kan niet uitgesloten worden dat er meer beschikbaar is omdat eigenaar van de dataset niet goed voorselecteert.
Dus deelname in deze is niet relevant.

Dat is allen maat goed voor de omvang van de boete die gaat over wereldwijde omzet...

Laat even zien dat het enkel web-based opensource technologie is. Of klets je weer gewoon uit je nek.

De aandacht lijkt zich steeds meer te verplaatsen van Blauw naar Nebu en ik vermoed dat door Blauw hier een zeer bewuste strategie op is gezet. Ik ga ervan uit dat wijzende vinger helemaal terecht is, maar het zou ook goed zijn de overeenkomsten tussen Blauw en Nebu eens onder de loep te nemen. Vaak zie zie je dat er geen concrete maatregelen worden geëist en dat er erg geleund wordt op de 27001-certificaten.

Maar het is al zo geregeld binnen de EU - bij een overeenkomst met een developer,
hebben de eindgebruikers hun rechten al opgegeven. Je hebt dus altijd het nakijken.

Als er wat gebeurt is dat slechts voor de Bühne en niets mdeer.

Als er geld betaald wordt IS er een contract of overeenkomst. Open Source maakt hier geen verschil in.
Er zijn zeer succesvolle bedrijven gebaseerd op open source.. Nextcloud, Redhat, IBM, ...

Beiden zullen nog steeds aan de geldende wetten moeten voldoen.

Dezelfde managers die, na herhaald gewaarschuwd te zijn, persoonsdata bij Microsoft/Amazon/Google in de cloud zetten.

Dat is allemaal specuatie, wat hebben we daar nou aan?
Aannemelijk is dat bedrijven die klanttevredenheid willen onderzoeken een lijst van te benaderen klanten naar Blauw
of een ander bureau sturen. Die sturen deze gegevens vervolgens weer door naar Nebu. Dan wordt er een mail
verstuurd naar de betreffende klanten, wellicht door nog weer een ander bedrijf (dat hebben we nog niet gehoord),
en de klanten die dan mee gaan doen die verstrekken nog meer gegevens aan Nebu, die dat vervolgens door hun
software halen en de resultaten aan Blauw geven, die daar een mooi rapport van maken en aan hun klant (een
bedrijf zoals Ziggo) geven.
Nu is er bij Nebu wat ontvreemd, maar we weten helemaal niet of dat de lijst van te benaderen personen was, of
het bestand met de door die personen ingevulde gegevens. De berichten van de betreffende bedrijven "het gaat
om klanten die meededen aan een onderzoek" die suggereren het laatste. Maar het kan best zijn dat de ruwe lijst
van klanten ook gelekt is. Daar zullen dan minder gegevens in staan dan in dat onderzoeksbestand.

En uiteraard moet een bedrijf hun klanten de mogelijkheid bieden om dit soort gezeur met onderzoeken niet te
hebben. Meestal kun je dit wel ergens in je "mijn XXXX" pagina instellen, en/of opgeven op het moment dat je er
een account maakt. De vraag is dan: stuurt dat bedrijf dan alleen een lijst van mensen die ze mogen onderzoeken
naar Blauw, of sturen ze een lijst van al hun klanten met een kolom "benaderen ja/nee" er bij.
We weten het allemaal niet!

Ben bij verschillende getroffen organisaties bekend, maar tot op heden van geen enkel bedrijf c.q. dienstverlener enige reactie gehad...

Bravo AVG/GDPR !

O, jee! Alle Microsoftgebruikers liggen over de vloer bij Nebu! Dat is een lek van wel een paar miljard Microsoft gebruikers! Waar moet dat heen met deze wereld, waar iedereen wordt genept?

Ik ook, en ik heb ook geen bericht gehad. Ik heb gisteren iemand gesproken die juist van nogal veel organisaties bericht heeft gekregen, inclusief organisaties die mij ook kennen. Dat kan verschillende verklaringen hebben. Een mogelijkheid is dat het waarschuwen van zeer grote aantallen mensen tijd nodig heeft en dat ik simpelweg nog niet aan de beurt ben gekomen. Een andere mogelijkheid is dat ik toevallig niet in de selectie van klanten zit die op dit moment bij zo'n onderzoeksbureau ligt. Dit kan voor jou ook gelden. Maar het is inderdaad ook mogelijk dat er fouten gemaakt worden en mensen worden overgeslagen die wel ingelicht zouden moeten worden.

Vind je dat de wet gefaald heeft omdat je nog niets gehoord hebt? Een wet faalt niet, dat zijn woorden op papier, het zijn mensen die kunnen falen. Een wetgever kan falen door een wet slecht of helemaal niet te schrijven. Een toezichthouder kan falen door slecht toezicht te houden. Mensen en organisaties kunnen falen door zich niet aan de wet te houden.

Als jouw punt is dat je niet gewaarschuwd bent terwijl dat wel had gemoeten dan zijn het de organisaties die dat hadden moeten doen die falen, want die houden zich dan niet aan de wet. Als je er gelijk in hebt, althans; het is mogelijk dat we de meldingen nog gaan krijgen en het is ook mogelijk dat we geluk hebben en nergens in een selectie voor klantonderzoek zitten die door het lek is geraakt.

Je noemt een lijst van commerciële aanbieders die opens source in een hun closed dure licenties aanbieden.
Komisch genoeg schijnt de laatste een sleutelrol te vervullen in het werk van de martktonderzoekers bij dit datalek.

Er is niemand die gekeken heft of gevraagd heeft wat er in genoemde keten speelt.
Ik ben tot het volgende gekomen.
- Organisaties hebben een gerechtvaardigd belang bij marktonderzoek - proces analyse
- Organisaties besteden het werk van marktonderzoek graag uit
Het belangrijkste voordeel bij uitbesteden is geen eigen personeel, geen moeilijke interne discussies
- Marktonderzoekbureaus besteden de technische infrastructuur uit.
Wat ze nodig hebben is:
+ database / oplsag gegevens
+ uitwisseling van de extracten relatie gegevens opdracht gevers met doel
+ enquete optie
+ verwerkingsoptie van de gegevens
Hier komt Nebu in beeld. Ik verwacht niets technisch inhoudelijks op wat voor vlak bij de markonderzoekbureau's.

Met de enqueteoptie heeft nebu een lange historie. Deze is web based en geschikt voor meerdere technologieën.
Ze zeggen de eerste versie ooit op de voorloper van de ipad te hebben gehad.

Voor het uitwisselen van gegevens de gangbare lijst cloud aanbieder maar sluit andere meer beveiligde opties niet uit.
Een database benadering, ja hier wort Sql server genoemd en dat specifieke IBM product voor de statistische verwerking.
Nee geen python al komt die software bij het onderwijs wel degelijk voor.

De omvang van de data is naar huidige maatstaven niet groot. Alles is tekst based. We praten over wat Gb's.
Prima on-line remote te doen.

Hier zie je meteen wat er mis gegaan kan zijn. Is er op wat voor manier dan ook onterecht toegang tot de centrale voorziening geweest dan is het datalek massaal.

Gelukkig is op de impact nogal wat aan te merken. Het meeste van de betrokken gegevens zal op een andere manier ook al bekend zijn. Het niveau dat een telefooncel van vroeger wegens de telefoonboeken nu als een gigantisch datalek gezien wordt is een zeer kromme privacy risico insteek.

Naar mijn mening is dat gerechtvaardigd belang erg mager. Heel vaak zijn die enquetes alleen bedoeld om ervoor te zorgen dat er meer geld verdiend gaat worden. Niets proces analyse, maar pure marketing.
Als je dat werk uitbesteedt moet je het wel naar een betrouwbare partij uitbesteden. Je bent als bedrijg nog steeds verantwoordelijk voor de data dus hebt een onderzoeksplicht en die gaat verder dan "het bedrijf heeft een ISO 2700x certificaat", wat in praktijk vaak niet heel veel betekent. Dat echte onderzoek gebeurt echter meestal niet, want te duur (alles moet zo goedkoop mogelijk).
Ook die marktonderzoeksbureau heeft dezelfde onderzoeksplicht naar zijn technische partij toe. En die technische partij laat een behoorlijk aantal steken vallan. Het zou niet zo moeten zijn dat data van alle klanten op straat kan komen te liggen vanwege een enkel lek. Dan heb je echt zitten slapen bij je implementatie. Data zou minimaal op klantniveau van elkaar moeten worden gescheiden (hetzij in andere databases, in ieder geval met een andere keys versleutelen). Ik vermoed gebrekkige IAM, geen SoD, geen adequate encryptie (waarschijnlijk gewoon een diskencryptie om aan de ISO eisen te voldoen en een groen vinkje kunnen zetten) en hoogstwaarschijnlijk geen adequate monitoring. Maar ja, alles om de kosten zo laag mogelijk te houden en de winst te maximaliseren.
Het verschil tussen het oude telefoonboek en dit soort zaken is gigantisch. Het oude telefoonboek was analoog en per regio. Je moest dan het juiste telefoonboek in handen kunnen krijgen om er wat mee te kunnen. Grootschalig misbruik kostte dan erg veel menskracht, dus was de impact dan in bijna alle gevallen laag. In de digitale wereld betekenen dit soort lekken dat er geautomatiseerd op grootschalige wijze misbruik van de data gemaakt kan worden: dat maakt de impact significant groter. Niet voor niets had KPN toen de telefoongids digitaal beschikbaar kwam de reverse lookup optie (dus NAW gegevens verkrijgen op basis van een telefoonnummer) niet beschikbaar: je moest al over NAW gegevens beschikken om het telefoonnummer te verkrijgen. Verder kon je in de analoge telefoonboeken je nummer niet laten vermelden: dat is bij deze aanbieders niet het geval. Je gegevens worden rucksichtloos aan allerhande partijen verstrekt, zonder dat je daar wat tegen kunt doen als je er een (betaalde) dienst afneemt, want "gerechtvaardigd belang". Te zot voor woorden.

Of excuses laten aanbieden…

Belangen van klanten/burgers/personen horen voor commerciele belangen van bedrijven te gaan.
De gegevens gaan namelijk over die personen, niet over de bedrijven.
En keer op keer blijktt weer dat bedrijven niet te vertrouwen zijn om (100% van de tijd) zorgvuldig met die gegevens om te gaan.

De simpelste oplossing is, haal dathele gerechtvaardigde belangt uit de wet. het wordt te vaak misbruikt.
Willen bedrijven gegevens van personen gebruiken, dat sturen ze maar een brief om om individuele toestemming te vragen. Voor die ene keer.
Als het te kostebaar voor bedirjven wordt, stoppen ze er vanzelf wel mee. Of doen het alleen nog wanneer het echt nodig is.
De rest van de tijd kunnen ze met geaggregeerde gegevens werken.

Voorkomen is beter dan genezen.
Nu gaat het te vaak fout. Dan is et bbeter dat ze die gegevens niet hebben of zo min mogelijk, en niet kunnen hergebruiken.
"Gerechtvaardigd" belang maakt "slachtoffers".

Zeker nooit slachtoffer geweest van foute mensen.... meneer zeur niet....

Zeg je dat ook tegen vrouwen die aangerand zijn omdat ze een te kort rokje droegen, die vroegen er zeker zelf om?

#wereldbeeld

Hier enkel mail gehad van de NS, hadden zij net zo goed niet kunnen sturen. Staat niks zinnigs in en direct reageren op de mail kan uiteraard niet. Je moet maar contact opnemen met de klanten'service' (nog meer data/persoonsgegevens met derden delen, en waar ging het nu juist mis...).

Zouden nog minimaal 2 andere organisaties moeten zijn waar gegevens gelekt zijn, maar daar hoor ik vooralsnog niets van.

Zo simpel is het niet, gerechtvaardigd belang heeft ook wel eens een functie die je niet kan missen.

Als jij je bank opdracht geeft geld over te boeken naar iemand anders, dan geef je daarbij persoonsgegevens van een ander op: naam en IBAN. Jouw bank hoeft zelf geen contract met of toestemming van die ander hebben, die kan klant zijn bij een andere bank. Toch moet jouw bank die gegevens verwerken om de overboeking te kunnen doen.

Dat is een voorbeeld van gerechtvaardigd belang: de bank kan onmogelijk een bank zijn zonder persoonsgegevens te verwerken van mensen waar die zelf geen enkele relatie mee heeft.

Houd dat eens naast hoe de AVG dat gerechtvaardigde belang als verwerkingsgrond definieert:


Voor een bank is het inderdaad pure noodzaak is om zonder contract of toestemming persoonsgegevens te verwerken, anders kan er geen geld overgemaakt worden. Dat is niet alleen het belang van de bank zelf, maar van alle klanten van alle banken, inclusief degenen van wie zonder toestemming persoonsgegevens worden verwerkt. Want zij hebben er belang bij dat ze het geld dat een ander naar ze overboekt kunnen ontvangen. Dit is een voorbeeld van gerechtvaardigd belang dat je echt niet wilt afschaffen.

Als je de definitie van de verwerkingsgrond "gerechtvaardigd belang" goed leest blijkt die helemaal niet laagdrempelijg. Het is niet simpel "hier verdien ik mijn geld mee dus kan ik er aanspraak op maken", wat in wezen het argument is dat meestal gebruikt wordt.

Geld verdienen is inderdaad een gerechtvaardigd belang, maar de specifieke manier waarop je dat doet is pas een noodzaak als het echt niet op een andere manier kan. Ik denk dat die drempel meestal al niet genomen worden. Bij die overboekingen door banken is de noodzaak er inderdaad, maar meestal valt er best op een andere manier iets voor elkaar te krijgen. Advertenties bijvoorbeeld kunnen ook geplaatst worden bij pagina's en video's waar ze een relatie mee hebben, in plaats van aan personen gekoppeld te worden. NPO/STER hebben al laten zien dat ze daar zelfs meer advertentie-inkomsten aan overhouden. En een bedrijf kan wel stellen dat voldoende inkomsten om de continuïteit te waarborgen noodzakelijk zijn, maar niet dat winstmaximalisatie ten koste van alles een noodzaak is.

Dus de noodzakelijkheid aantonen is al een serieuze drempel. Maar als die genomen is moet het belang van de verwerker ook nog eens zwaarder wegen dan de grondrechten en belangen van de betrokkenen wiens persoonsgegevens worden verwerkt. Dat is ook geen lage drempel, want de bescherming van persoonsgegevens zelf is een grondrecht. De AVG valt meteen in overweging (1) met de deur in huis door dat te melden en de artikelen in EU-verdragen te noemen die dat grondrecht vaststellen. Laat even doordringen wat dat betekent. Het betekent dat iedereen die een beroep doet op gerechtvaardigd belang daarmee claimt dat dat belang zo zwaar weegt dat een grondrecht van de betrokkenen geschonden mag worden. Dat is echt geen kattenpis, dat is een serieus hoge drempel om te nemen.

Dit kan je al concluderen door van de AVG enkel overweging (1) en artikel 6, lid 1, sub f (de geciteerde definitie van gerechtvaardigd belang als verwerkingsgrondslag) tot je door te laten dringen. Twee korte alinea's tekst, meer niet.

Ik denk dat het probleem helemaal niet is dat, of hoe, de AVG gerechtvaardigd belang definieert, ik denk dat het probleem is dat maar al te veel bedrijven sterk naar hun eigenbelang toe redeneren en alles in de strijd gooien om daar hun gelijk in te halen. Dat gaan die bedrijven doen bij elke formulering die je maar kiest om de rechten te beschrijven die zij willen schenden.

Op de formuleringen in de AVG is echt wel wat aan te merken, trouwens, maar in mijn ogen is dat niet de kern van het probleem. Iedereen die de AVG op een integere manier leest, en kijkt wat de toezichthoudende autoriteiten aan uitleg erover geven, en kijkt naar wat er inmiddels aan jurisprudentie over is, die kan gewoon de juiste conclusies trekken. Deze bedrijven trekken de juiste conclusies niet omdat ze dat helemaal niet willen. Als er een beter geformuleerde wet is dan willen ze dat nog steeds niet en trekken ze nog steeds alles uit de kast, inclusief dure juristen, om te proberen hun zin door te drukken.

Dat is het werkelijke probleem, en dat is helemaal niet simpel op te lossen.

Hier heet @karma4 toch wel een punt. Een BSN is een gegenereerd nummer, dat uniek aan een persoon is toegekend. Op zich is het algoritme bekend (zie ook https://nl.m.wikipedia.org/wiki/Burgerservicenummer#11-proef). Je kunt dus gewoon een simpel programmaatje schrijven dat alle mogelijke BSNs genereert. Een BSN is dus gewoon een gegenereerd nummer dat aan iemand wordt toegekend om koppelling tussen allerhande databases mogelijk en eenduidig te maken (als een UUID of "ouderwets" database id).

Op zich dus een gewoon nummer. Het probleem wordt veroorzaakt doordat bedrijven en instanties dit als een identificerend nummer zien (als je NAW + BSN weet, eventueel aangevuld met geboortedatum dan zien dit soort instanties dit als een volwaardige identificatie). daar gaat het fout, want dat is het niet. Het is dus op zijn zachtst gezegd opmerkelijk dat ik een bank kan bellen en op grond van deze gegevens allerhande wijzigingen kan uitvoeren.

Dus als iemand de combinatie van deze gegevens (dus BSN, NAW, geboortedatum) weet te achterhalen kan deze allerhande frauduleuze activiteiten ontplooien op jouw naam (zogenaamde identiteitsfraude). Ikzelf probeer dit in ieder geval te verhinderen door regelmatig pseudoniemen en valse geboortedatums te verstrekken aan instanties waarvan ik denk dat ze er niets mee te maken hebben.

Uiteindelijk is het probleem dus gewoon dat bedrijven de combi van deze gegevens als identificererend gegeven beschouwen. Dat zou moeten veranderen. Nu draaien de burgers ervoor op als er op grond van deze gegevens fraude wordt gepleegd omdat er onterecht vanuit wordt gegaan dat als je deze gegevens weet ook echt de persoon bent die je claimt te zijn.

Dank voor het opzoeken! Maakt het e.e.a duidelijker.


Jij ook dank!


NeBu blijft nog steeds stil. Geeft mij zon LastPass gevoel, Lijkt alsof er daar wel een heel serieus lek is.
Zul je net zien dat ook daar een developer zijn password hetzelfde heeft als de Plex password net als bij LastPass.Woeps

Maakt het e.e.a al weer duidelijk, Integron en NCR maken in ieder geval geen gebruik van de diensten van NeBu. Die hebben gellukig een eigen platform.

Dus Rusland. Tadaa. Zo is er wel eend doelgroep te maken voor misinformatie. Dankzij de antwoorden op het marktonderzoek is per postcode, leeftijdcategorie en wat dies meer heel mooi een doelgroep te targeten.

Want álle klantgegevens lagen denk ik bij NeBU. Die NeBu verzorgden vast de software als een SaaS en zorgden voor de random selectie op basis van een aantal parameters van de onderzoekers.

Voor ons als gewone klanten zijn de inkopers (onze directe leveranciers) in de keten de aansprakelijken en zullen we ons verhaal moeten gaan halen. Zij hebben zich niet aan hún verantwoordelijkheid gehouden goed om te gaan met onze gegevens door het aan een niet betrouwbare derde over te dragen.

Het wereldbeeld dat je BSN geheim moet houden en dat dat je veiligheid is, dat komt inderdaad overeen met het verwijt "kort rokje dragen dus zelf schuldig". De verwerker hoort een gedegen controle van juiste en gerechtigde persoon te doen.
Dat wordt gefrustreerd door een raar wereld beeld van onbekend en onherkenbaar moeten zijn.

Dank u, dat is waar het mij om gaat.

Ik laat de bedrjifsvoering met keuzes liever aan de managers over. Nee marketing en proces aansturing is wel degelijk een aandachtspunt bij ze. Ik geloof eerder dat in de dolgedraaide ICT hypes ze dat besef zelf nauwelijks meer kunnen plaatsen.
De grote duurbetaalde consultancy bureaus waarvandaan komt hoe het zou moeten.


Het wonderlijke in het verhaal is dat druppelsgewijs benoemen van getroffen ketens.
Dat duidt er op dat nebu van de achterliggende keten gewoon niets wist, enkel infra ter beschikking stelde.
Een rol die meer bij een telecomprovider past. Wie gaat KPN Ziggo ams-ix dan wel google cloud controleren?
ER is genoeg te vinden ook bij "betrouwbare partijen" waar de absolute veiligheid van gegevens een vraag is.