Bescherming persoonsgegevens fora/social media etc?

Pagina: 1
Acties:

Acties:
  • +1 Henk 'm!

  • Skimovic
  • Registratie: April 2004
  • Laatst online: 25-02 03:16
Ik weet niet goed waar dit topic het beste past, dus plaats het hier maar.

Aanleiding is het gedoe dat nu aan de gang is op de soccer.netwerk.to fora. Overkoepelende partij van onder ondere Ajax netwerk, PSV netwerk en Feyenoord netwerk. Nieuwssites met daarbij zowat de grootste voetbalfora van Nederland. Admins en mods doen het dagelijkse beheer op vrijwillige basis.

Recent is er een hack geweest. Volgens geruchten waren persoonsgegevens, wachtwoorden etc allemaal gewoon in plain text opgeslagen en gelekt met de nodige gevolgen. (admins die irl bedreigd worden etc).

Bij een simpele google search kom ik het volgende al tegen:
https://raidforums.com/Thread-Ajax-Netwerk-to

Inmiddels hebben ze zelf de fora voorlopig offline gehaald.

Fora en social media zijn inmiddels uit de kluiten gewassen verzamelplekken geworden. Daarbij zou ook verantwoordelijkheid moeten horen om de persoonsgegevens correct te beveiligen lijkt me?

Zijn hier geen toezichthouders of andere waakhonden voor?

Abit nf7-s, Amd xp 2800+ Barton, 1024mb DDR400 Dualchannel (2*512), 200gb 7200rpm 8 mb cache + 2* 120gb 7200rpm 8 mb cache


Acties:
  • 0 Henk 'm!

  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 01:24

gorgi_19

Kruimeltjes zijn weer op :9

Bedoel je iets als de Meldplicht datalekken met als toezichthouder de Autoriteit Persoonsgegevens?

https://autoriteitpersoon...ing/meldplicht-datalekken

Digitaal onderwijsmateriaal, leermateriaal voor hbo


Acties:
  • 0 Henk 'm!

  • Sweatleek
  • Registratie: Maart 2016
  • Laatst online: 11-08 19:50

Sweatleek

404: Member Not Found

Die link maakt mijn virus scanner gek ?

confused reality


Acties:
  • 0 Henk 'm!

  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Aan de ene kant zijn er inderdaad toezichthouders, maar die richten zich voornamelijk op bedrijven die gegevens van consumenten misbruiken of niet goed genoeg beschermen.

Ik weet niet wie de betreffende fora heeft opgezet, maar als dat gewoon iets is wat is opgezet door een particulier, als een uit de kluiten gewassen hobby, dan valt dat volgens mij niet onder die regels.

Maakt het natuurlijk niet minder klote dat gegevens uitlekken, en niet minder stom dat de beveiliging niet op orde is/was.
Soms kan een forum eigenaar daar niet zoveel aan doen, als b.v. de gebruikte software een onbekend lek bevat. Maar de exacte toedracht zal je waarschijnlijk nooit te weten komen.
Het kan ook gewoon een beroerd slecht wachtwoord zijn geweest.

Iemand een Tina2 in de aanbieding?


Acties:
  • 0 Henk 'm!

  • tinzarian
  • Registratie: December 2000
  • Niet online
Sweatleek schreef op zondag 20 augustus 2017 @ 01:04:
Die link maakt mijn virus scanner gek ?
Ja.
McKaamos schreef op zondag 20 augustus 2017 @ 01:17:
maar als dat gewoon iets is wat is opgezet door een particulier, als een uit de kluiten gewassen hobby, dan valt dat volgens mij niet onder die regels.
Waar haal je deze wijsheid vandaan?
Soms kan een forum eigenaar daar niet zoveel aan doen, als b.v. de gebruikte software een onbekend lek bevat.
Dan nog is zo iemand verantwoordelijk voor de gevolgen van dat lek

[ Voor 61% gewijzigd door tinzarian op 20-08-2017 01:27 ]


Acties:
  • 0 Henk 'm!

  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

tinzarian schreef op zondag 20 augustus 2017 @ 01:23:
[...]

Ja.


[...]

Waar haal je deze wijsheid vandaan?
Hier: https://autoriteitpersoon...ing/meldplicht-datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Organisaties, dus niet burgers die zelf een website runnen.
[...]

Dan nog is zo iemand verantwoordleijk voor de gevolgen van dat lek
Ben ik het niet mee eens.
Als gebruiker van software kan jij niet nagaan of software vrij is van lekken.
Als je willens en wetens laakbaar hebt gehandeld, door bijvoorbeeld software updates niet tijdig te installeren of geen wachtwoord te hebben op plekken waar dat moet voor de veiligheid, dan is het een heel ander verhaal.
Als Windows een lek bevat en jouw PC verliest ergens wat data, dan is de rel om dat lek gericht aan het adres van Microsoft.

Iemand een Tina2 in de aanbieding?


Acties:
  • 0 Henk 'm!

  • GlowMouse
  • Registratie: November 2002
  • Niet online
McKaamos schreef op zondag 20 augustus 2017 @ 01:32:
[...]

Organisaties, dus niet burgers die zelf een website runnen.
Dit is onjuist, het gaat om een ieder die verantwoordelijk is voor de verwerking van persoonsgegevens. Zie art. 1 sub d jo art. 34a Wbp. Zie ook "1. Is de meldplicht datalekken uit de Wbp op mij van toepassing?" op http://wetten.overheid.nl/BWBR0037346/2015-12-16

Zowel het niet adequaat beveiligen van persoonsgegevens (niet hashen van wachtwoorden) als het eventueel niet melden van het lek zijn niet toegestaan. Helaas heeft de toezichthouder ACM het vrij druk dus de kans dat er een boete wordt uitgedeeld of zelfs maar een waarschuwing wordt gegeven, is niet zo groot.

Mocht je persoonlijk schade lijden door het lek, is die mogelijk wel op de beheerders te verhalen.

[ Voor 5% gewijzigd door GlowMouse op 20-08-2017 01:45 ]


Acties:
  • 0 Henk 'm!

  • tinzarian
  • Registratie: December 2000
  • Niet online
Heb je daar ook wat verder gelezen dan alleen de inleiding?
verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt
Natuurlijke personen, dat zijn mensen zoals jij en ik. Particulieren.
McKaamos schreef op zondag 20 augustus 2017 @ 01:32:
Ben ik het niet mee eens.
Als gebruiker van software kan jij niet nagaan of software vrij is van lekken.
Als je willens en wetens laakbaar hebt gehandeld, door bijvoorbeeld software updates niet tijdig te installeren of geen wachtwoord te hebben op plekken waar dat moet voor de veiligheid, dan is het een heel ander verhaal.
Als Windows een lek bevat en jouw PC verliest ergens wat data, dan is de rel om dat lek gericht aan het adres van Microsoft.
Cool dat je het er niet mee eens bent, maar als verwerker ben je verantwoordelijk. Als je vindt dat de maker of leverancier van de software verantwoordelijk zou moeten zijn dan regel je dat met die leverancier.

[ Voor 6% gewijzigd door tinzarian op 20-08-2017 01:48 ]


Acties:
  • 0 Henk 'm!

  • NLKornolio
  • Registratie: Februari 2010
  • Laatst online: 23:49

NLKornolio

BF3/BF4: NLKornolio

Beste bescherming is je persoonlijke gegevens niet in te vullen, aldus valse informatie opgeven.

Acties:
  • 0 Henk 'm!

  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Een fora werkt met gebruikersnamen en wachtwoorden waardoor in ieder geval het criteria voor data wat onder de wet valt geregeld is.
Een fora verwerkt elektronisch gegevens voor meer dan 1 persoon, voor de complete site en haar bevolking, nog een criteria wat aangeeft dat het mogelijk onder de wet valt.
Voor fora is er geen separate wetgeving, dus nog een criteria waar door het mogelijk onder de wetgeving valt.
Valt de fora persoonsgegevens onder "uitsluitend persoonlijk/huishouding" of "specifieke wetgeving" of "krijgsmacht", antwoord is nee, het is ook niet voor literair en journalisme specifiek.

Dus ja een openbaar forum valt gewoon onder de meldplicht. Het enige argument zou nog kunnen zijn dat het nodig is voor "huishouding van de site". Maar tegenargument is dat een fora ook zonder accounts kan werken.

Overigens, wel of geen organisatie is buiten de discussie. Meerdere personen in een samenwerkingsverband is al een organisatie (bijvoorbeeld meerdere criminelen = criminele organisatie), een fora met meerdere moderators is gewoon een organisatie voor de wet.

[ Voor 13% gewijzigd door Wim-Bart op 20-08-2017 02:22 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Acties:
  • 0 Henk 'm!

  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

tinzarian schreef op zondag 20 augustus 2017 @ 01:45:
[...]

Heb je daar ook wat verder gelezen dan alleen de inleiding?


[...]


Natuurlijke personen, dat zijn mensen zoals jij en ik. Particulieren.


[...]

Cool dat je het er niet mee eens bent, maar als verwerker ben je verantwoordelijk. Als je vindt dat de maker of leverancier van de software verantwoordelijk zou moeten zijn dan regel je dat met die leverancier.
toon volledige bericht
In het geval dat je er zelf aantoonbaar niks aan hebt kunnen doen, ben ik van mening dat het wettelijk vast moet liggen dat de leverancier van de software op z'n minst een deel van de blaam treft.
Het is mijns inziens stom dat je dat zelf nog weer moet gaan afdekken met contracten.

Dit is in essentie hetzelfde als met een auto een ongeluk veroorzaken omdat het gaspedaal vast zit door een fabricagefout (Toyota dingetje van wat jaren terug). Daar was het ook de fabrikant die aansprakelijk was.
Het is toch lullig als je aansprakelijk zou zijn voor iets waar jij niks aan hebt kunnen doen?
GlowMouse schreef op zondag 20 augustus 2017 @ 01:42:
[...]

Dit is onjuist, het gaat om een ieder die verantwoordelijk is voor de verwerking van persoonsgegevens. Zie art. 1 sub d jo art. 34a Wbp. Zie ook "1. Is de meldplicht datalekken uit de Wbp op mij van toepassing?" op http://wetten.overheid.nl/BWBR0037346/2015-12-16

Zowel het niet adequaat beveiligen van persoonsgegevens (niet hashen van wachtwoorden) als het eventueel niet melden van het lek zijn niet toegestaan. Helaas heeft de toezichthouder ACM het vrij druk dus de kans dat er een boete wordt uitgedeeld of zelfs maar een waarschuwing wordt gegeven, is niet zo groot.

Mocht je persoonlijk schade lijden door het lek, is die mogelijk wel op de beheerders te verhalen.
Dan vraag ik me af of H1 art 2-2a hier niet van toepassing is?

H1 art 2-2a:
Deze wet is niet van toepassing op verwerking van persoonsgegevens: ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

Als particuliere website eigenaar zijn de persoonsgegevens die je kan invullen op een forum hooguit voor huishoudelijke doeleinden. Je stuurt nog niet eens post. Het kan vrijwillig ingevuld worden.

Maargoed, sowieso even door de bepalingen heen aan het rollend staan er ook dingen in over het niet mogen opvragen van de gegevens tot het moment dat het absoluut noodzakelijk is.
En dat je het niet langer dan strict noodzakelijk mag bewaren.

In essentie is ieder forum by default in overtreding van de Wbp, want overal kan je, geheel vrijwillig, je persoonsgegevens invullen. Het is nagenoeg nergens verplicht, maar zodra je als gebruiker de velden invult, maak je iemand dus automatisch verantwoordelijk.


Edit:
En wat als je alle vrijwillige invulbare persoonsgegevens velden verwijdert en gebruikers gaan spontaan dergelijke gegevens in een openbaar (of desgewenst members-only) topic plaatsen?
Ben je dan ook verwerker van persoonsgegevens? je hebt er niet om gevraagd en je gebruikt het zelf niet eens.

[ Voor 5% gewijzigd door McKaamos op 20-08-2017 02:35 ]

Iemand een Tina2 in de aanbieding?


Acties:
  • 0 Henk 'm!

  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

Dit lijkt me beter op z'n plek in Beveiliging & Virussen. Tikje AZ -> BV.

[ Voor 10% gewijzigd door naitsoezn op 20-08-2017 07:53 ]

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht


Acties:
  • +1 Henk 'm!

  • Parcye
  • Registratie: Maart 2001
  • Laatst online: 24-08-2017

Parcye

Mr C

Dit fora heeft alles zelf in de doofpot gedaan... en af deed als 'er is niets' ... dat was begin Juli. Nu een maand later is het dus weer dicht; maar nu met de boodschap dat het door leden komt...
Forums tijdelijk offline

We hebben de forums tijdelijk offline moeten halen. Een aantal leden probeert moedwillig anderen te beschadigen. Dat willen we niet meer faciliteren. We bekijken andere wegen om discussie weer goed mogelijk te maken. Dat kan helaas even gaan duren.
Ik vond het begin Juli al vreemd dat een site met in totaal een 140.000 gebruikers en zo een lek het nieuws niet haalde; terwijl een webshop met 500 klanten wel het nieuws haalt als gebruikersnamen en wachtwoorden op straat komen te liggen.

"Als je het kan bedenken, kan het gemaakt worden" Parcye - 14 januari 2002

Pagina: 1