Werkgever verstuurt persoonsgegevens zonder versleuteling

Bedoel je dat je wilde dat het bestand zelf versleuteld zou zijn en enkel te openen zou zijn met een publieke sleutel of bedoel je dat de mail zelf onversleuteld (zonder SSL/TLS) is verstuurd? Want dat zijn 2 compleet verschillende dingen namelijk.

M.a.w. hoe heb je geconstateerd dat het een onversleutelde verzending betrof?

[ Voor 18% gewijzigd door MsG op 22-11-2017 13:35 ]

Heel goed dat je dit constateert. Je zou bij je werkgever aan kunnen geven dat je die mail hebt ontvangen en dat het accountantskantoor gevoelige persoonsgegevens van jou onversleuteld heeft verstuurd en dat je dat niet prettig vindt, vanwege de risico's die daaraan kleven. Probeer in eerste instantie vooral te peilen of zij hier ook de ernst van inzien. Zo ja, spreek verder over hoe jouw werkgever hier werk van kan maken. Zo nee, informeer je nog beter en probeer ze bewust te maken van de risico's.

Mocht je werkgever nul gehoor geven aan jouw punt, dan kun je altijd nog informeren bij het accountantskantoor over hoe het zit met hun mailbeveiliging. Probeer vooral het gesprek met elkaar (eerst werkgever) aan te gaan, trammelant maken kan altijd nog.

Zover mij bekend mag het niet inderdaad. Overigens zou ik graag willen dat mijn werkgever het wel deed. Veel handiger dan op papier, en ook handiger dan dat er weer een aparte portal is, die je moet hopen dat die het blijft doen, waar weer uiteraard compleet idiote wachtwoord eisen op zitten waardoor je de keer dat je het nodig hebt eerst een wachtwoord reset moet uitvoeren, waar je eerst je geheime vraag voor moet beantwoorden en je geen flauw idee hebt wat je daar ooit voor hebt ingevuld, etc.

Maar goed, het mag volgens mij niet nee . Dus je kan er inderdaad achteraan gaan, maar je moet het niet verder opblazen dan het is. BSN van half Nederland ligt op straat, daar ben je niet heel uniek in .

Tegen je baas zeggen dat hun accountant zich niet aan de steeds strenger wordende privacy wetgeving houdt, en dat volgens ketenregelingen dit uiteindelijk de verantwoordelijkheid wordt van de werkgever met hoge boetes tot gevolg zou voldoende moeten zijn om de accountant te bellen door je baas...

Dit kan op meerdere plekken, behalve AZ. Ik hou het op PFSL omdat het meer over de werkvloer gaat.

Sissors schreef op woensdag 22 november 2017 @ 16:35:
Zover mij bekend mag het niet inderdaad. Overigens zou ik graag willen dat mijn werkgever het wel deed. Veel handiger dan op papier, en ook handiger dan dat er weer een aparte portal is, die je moet hopen dat die het blijft doen, waar weer uiteraard compleet idiote wachtwoord eisen op zitten waardoor je de keer dat je het nodig hebt eerst een wachtwoord reset moet uitvoeren, waar je eerst je geheime vraag voor moet beantwoorden en je geen flauw idee hebt wat je daar ooit voor hebt ingevuld, etc.

Maar goed, het mag volgens mij niet nee . Dus je kan er inderdaad achteraan gaan, maar je moet het niet verder opblazen dan het is. BSN van half Nederland ligt op straat, daar ben je niet heel uniek in .

Je laatste opmerking is pertinent onwaar. Identiteitsfraude is een serieus probleem en komt meer en meer voor in Nederland, juist omdat mensen te weinig stilstaan bij hoe er met hun gegevens omgegaan kan worden. Bovendien worden loonstroken nog wel eens als aanvullend bewijs gevraagd bij het sluiten van (huur)overeenkosten, wat de zaak nog schadelijker maakt, mocht het misgaan.

De gegevens van TS liggen gelukkig nog niet op straat, dus zo'n vaart zal het nog niet lopen, maar goed om dit nu al aan te kaarten. Het is een onnodige kwetsbaarheid.

mainvoid schreef op woensdag 22 november 2017 @ 13:42:
[...]


Ik bedoel dat de e-mail zelf onversleuteld was. gmail gaf een rood slotje en de volgende lijn:

Blijft de vraag; is jouw specificatie wel versleuteld als, bijvoorbeeld, PDF met password ofzo?

Of was de mail dus een "plain text" mail met daarin getypt je personalia & loon?

Als het goed is heeft Gmail TLS en als de accountant dat ook heeft is er wel degelijk encryptie op de verbinding. Dit kan je in de headers van de mail zien. Heb je dat ook bekeken?

Archie_T schreef op woensdag 22 november 2017 @ 21:48:
Als het goed is heeft Gmail TLS en als de accountant dat ook heeft is er wel degelijk encryptie op de verbinding. Dit kan je in de headers van de mail zien. Heb je dat ook bekeken?

Dit bedoel je toch?

mainvoid schreef op woensdag 22 november 2017 @ 13:42:
[...]


Ik bedoel dat de e-mail zelf onversleuteld was. gmail gaf een rood slotje en de volgende lijn:

beveiliging: xxx.xx heeft dit bericht niet versleuteld Meer informatie

Wouterkaas schreef op woensdag 22 november 2017 @ 21:55:
[...]

Dit bedoel je toch?


[...]

AFAIK, geeft Google met "beveiliging" aan of de verbinding tussen de ontvangende/verzendende mailserver over een versleutelde verbinding heeft plaats gevonden. Ofterwijl, of er een TLS/SSL verbinding opgebouwd was voor het mailverkeer.

In de praktijk denk ik dat het risico dát dat verkeer onderschept wordt relatief klein is.
En mocht dat zo zijn, dan is het eerder door een 'vangnet' van bijvoorbeeld de Wiv dan een cracker.

Fout van werkgever/accountantskantoor om 't naar een verkeerd mailadres of naar iedereen in een mailinglijst te sturen is vele malen hoger lijkt me. Dat is mij al eens overkomen.

Desalniettemin, zou dat verkeer natuurlijk gewoon versleuteld moeten gaan. Maar dan is het ook wel belangrijk dat de geadresseerde juist is (imho groter risico)

Het bericht zelf versleutelen (PGP oid) zie ik niet snel gebeuren, want dan kan een leek nooit z'n salarisstrookje meer zien.


Mocht je dit wel bij je baas aangeven, hoop ik dat je in een sector werkt met daadwerkelijk gefundeerde IT-kennis. Want als ik hiermee zou komen aankloppen bij mijn werkgever krijg je een raadselachtige blik. En die zouden 9/10 ook niet weten wat ze ermee aan moeten. (Manager zou 't concept niet begrijpen zegmaar..)

Wouterkaas schreef op woensdag 22 november 2017 @ 21:55:
[...]

Dit bedoel je toch?


[...]

Nee, dat is S/Mime. Klik in de web browser in Gmail op het pijltje en kies voor "show original" Dan krijg je de headers in een nieuw scherm, daar moet je even zoeken op TLS.

Received: from mdn-txn-msbadger0201.apple.com (mdn-txn-msbadger0201.apple.com. [17.171.37.28])
by mx.google.com with ESMTPS id 7si11438449plc.278.2017.11.21.08.46.12
for <@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);

Dit is dus een voorbeeld van een mail vanaf Apple met TLS encryptie.

Trucker Her schreef op woensdag 22 november 2017 @ 22:05:
Fout van werkgever/accountantskantoor om 't naar een verkeerd mailadres of naar iedereen in een mailinglijst te sturen is vele malen hoger lijkt me. Dat is mij al eens overkomen.

Net zoals er maandelijks vele duizenden loonstrookjes door de post gewoon onversleuteld bij de buren worden bezorgd?

Wouterkaas schreef op woensdag 22 november 2017 @ 21:24:
[...]

Je laatste opmerking is pertinent onwaar. Identiteitsfraude is een serieus probleem en komt meer en meer voor in Nederland, juist omdat mensen te weinig stilstaan bij hoe er met hun gegevens omgegaan kan worden.

Dat identiteitsfraude voor komt betekend niet dat BSN van half Nederland niet op straat ligt. En natuurlijk is half Nederland overdreven, maar je elke ZZP'er zet zijn BSN al op elke factuur. En daar hebben we er ruwweg een miljoen van. Dus het risico dat iemand de mail van TS onderschept om zijn BSN te stelen lijkt me niet heel groot.

Overigens kan ik op mijn loonstrookje niet zo snel een BSN vinden. En zoals @RemcoDelft al schreef, laten we niet net doen alsof de papieren post enige garantie geeft.

[ Voor 11% gewijzigd door Sissors op 23-11-2017 07:30 ]

Sissors schreef op woensdag 22 november 2017 @ 22:12:
[...]

Overigens kan ik op mijn loonstrookje niet zo snel een BSN vinden. En zoals @RemcoDelft al schreef, laten we niet net doen alsof de papieren post enige garantie geeft.

Het grootste risco is in mijn ogen dan ook de werkgever/accountant die de post mogelijk verkeerd adresseert.
Wanneer je iets willens en wetens wil onderscheppen lukt dit ongetwijfeld. Maar het merendeel van onze post, en e-mail, is niet altijd interessant om te onderscheppen.

Al vind ik het natuurlijk wel een goede zaak als men uberhaupt aan versleutelde verbindingen doet. Is dit voor mij in ieder geval (nog) geen reden tot zorgen. Als individu ben je lang niet altijd interessant genoeg om speciaal getarget te worden.

@TS, zou het mogelijk benoemen, maar, ik zou er geen hard punt van proberen te maken indien je werkgever het probleem niet snapt. Druist misschien tegen de privacy idealen in; maar die afweging is natuurlijk aan jou.

Sissors schreef op woensdag 22 november 2017 @ 22:12:
[...]

Dat identiteitsfraude voor komt betekend niet dat BSN van half Nederland niet op straat ligt. En natuurlijk is half Nederland overdreven, maar je elke ZZP'er zet zijn BSN al op elke factuur. En daar hebben we er ruwweg een miljoen van. Dus het risico dat iemand de mail van TS onderschept om zijn BSN te stelen lijkt me niet heel groot.

Overigens kan ik op mijn loonstrookje niet zo snel een BSN vinden. En zoals @RemcoDelft al schreef, laten we niet net doen alsof de papieren post enige garantie geeft.

Je haalt in je eerste zin twee reacties door elkaar. De opmerking over BSN's van half Nederland kwam van iemand anders en daar was mijn reactie juist op gericht. Ik heb verder al aangegeven dat het niet zo'n vaart zal lopen in dit geval, maar ik vind het alsnog goed dat TS erbij stilstaan en het wil aankaarten. Dat kan toch geen kwaad?

En ja, ZZP'ers zijn vele male kwetsbaarder en ik vind het ook een veel kwalijkere (en urgentere) zaak dat de rijksoverheid het BTW-nummer identiek maakt aan het BSN-nummer. En ja, de papieren post is ook kwetsbaar, niemand die het tegendeel zal beweren. En ja, de kans dat de accountant een verkeerd mailadres intikt is groter dan dat deze mail onderschept wordt door kwaadwillenden.

Het zijn allemaal valide punten, maar ik snap niet zo goed waarom ze een excuus zouden zijn om dit niet aan te kaarten? Alsof je de zwerver bji de supermarkt geen euro mag geven omdat er elders grotere armoede is.

Overigens staat bij mijn loonstroken mijn BSN altijd linksboven, bij verschillende werkgevers, maar kan idd zijn dat dit niet bij alle loonstroken zo is. Zelf krijg ik trouwens alleen een mail dat mijn loonstrook klaarstaat en die kan ik dan downloaden op een portal waar ik in moet loggen. Dat vind ik een veiligere en overzichtelijkere oplossing.

[ Voor 5% gewijzigd door Wouterkaas op 23-11-2017 12:00 ]

Qua fraudegevoeligheid kan ik me eigenlijk geen casus voorstellen waar een BSN veel waarde heeft in het geheel van gegevens om tot succesvolle identiteitsfraude over te gaan. Veel bedrijven hebben niets aan een BSN (want ze kunnen m.u.v. de 11-proef niets controleren). Wanneer je financiële diensten / producten aanschaft is een (kopie van een) ID-bewijs veel waardevoller (en daar staat het BSN sowieso op).

Dan heb je nog gemeenten en de overheid die wel een BSN kunnen herleiden tot een persoon (en adres),maar ook daar geldt weer dat je een ID-bewijs moet kunnen tonen.

Imo is de paranoïde houding over het BSN nummer en de fraudegevoeligheid enigszins overdreven.

RemcoDelft schreef op woensdag 22 november 2017 @ 22:09:
[...]

Net zoals er maandelijks vele duizenden loonstrookjes door de post gewoon onversleuteld bij de buren worden bezorgd?

Omdat er maandelijks vele duizenden mensen te hard rijden, mag ik dat ook? Belastingfraude plegen ook dan?


@TS, ik ben het eens met wat er in het begin werd gezegd om eerst met je werkgever te overleggen. Voor hen is het ook maar een dienst die ze inhuren, de meeste mensen zullen er niet blij mee zijn dat personeelsgegevens onveilig worden verstuurd.

Als je daar geen gehoor krijgt, zou ik naar de Autoriteit Persoonsgegevens stappen en daar een melding doen.

Standeman schreef op donderdag 23 november 2017 @ 12:16:
Qua fraudegevoeligheid kan ik me eigenlijk geen casus voorstellen waar een BSN veel waarde heeft in het geheel van gegevens om tot succesvolle identiteitsfraude over te gaan. Veel bedrijven hebben niets aan een BSN (want ze kunnen m.u.v. de 11-proef niets controleren). Wanneer je financiële diensten / producten aanschaft is een (kopie van een) ID-bewijs veel waardevoller (en daar staat het BSN sowieso op).

Dan heb je nog gemeenten en de overheid die wel een BSN kunnen herleiden tot een persoon (en adres),maar ook daar geldt weer dat je een ID-bewijs moet kunnen tonen.

Imo is de paranoïde houding over het BSN nummer en de fraudegevoeligheid enigszins overdreven.

Het blijft wel vreemd dat nog flink wat bedrijven toch om een BSN vragen terwijl ze er inderdaad vrij weinig mee kunnen. Het BSN mag enkel gebruikt worden door de overheid, in de zorg en door financiële instellingen. Ik kan me dan enkel voorstellen dat het in de zorg nog mis kan gaan, financiële instellingen zijn wel wat nauwkeuriger in het toetsen van hun klanten.

Ik vraag me af hoe ver je eigenlijk met een BSN komt als je informatie op wilt vragen bij zorginstellingen. Ze zijn altijd verplicht gegevens te controleren met het identiteitsbewijs maar tja... het blijft de zorg.

[ Voor 4% gewijzigd door Tsurany op 23-11-2017 20:14 ]

Tsurany schreef op donderdag 23 november 2017 @ 20:12:
[...]

Het blijft wel vreemd dat nog flink wat bedrijven toch om een BSN vragen terwijl ze er inderdaad vrij weinig mee kunnen. Het BSN mag enkel gebruikt worden door de overheid, in de zorg en door financiële instellingen. Ik kan me dan enkel voorstellen dat het in de zorg nog mis kan gaan, financiële instellingen zijn wel wat nauwkeuriger in het toetsen van hun klanten.

Euh, sorry maar zijn julie werkelijk zo naief? Dit is een verplichting vanuit de belastingdienst. Bedrijven doen loonaangifte op basis van je BSN, en daar krijg jij een mooie vooringevulde aangifte voor terug.

Tsurany schreef op donderdag 23 november 2017 @ 20:12:
[...]
Ik vraag me af hoe ver je eigenlijk met een BSN komt als je informatie op wilt vragen bij zorginstellingen. Ze zijn altijd verplicht gegevens te controleren met het identiteitsbewijs maar tja... het blijft de zorg.

Opvragen gaat zelfde als met telco's etc, controlevragen. Ziekenhuis wordt je geacht je te legitimeren voordat je opgenomen wordt.

[ Voor 28% gewijzigd door Sander op 23-11-2017 20:21 ]

Sander schreef op donderdag 23 november 2017 @ 20:19:
[...]


Euh, sorry maar zijn julie werkelijk zo naief? Dit is een verplichting vanuit de belastingdienst. Bedrijven doen loonaangifte op basis van je BSN, en daar krijg jij een mooie vooringevulde aangifte voor terug.

En waar ben je dan precies bang voor? Dat iemand extra inkomsten aangeeft?

mainvoid schreef op donderdag 23 november 2017 @ 20:05:

[...]


Dat je BSN je btw-nummer is als ZZP-er ben ik ook achter gekomen tijdens een stage bij de crediteurenafdeling; hier keek ik toen best wel van op. Je zou zeggen dat ze daar wel een 'nieuw' nummertje voor kunnen bedenken wat ze intern wel door kunnen linken maar waardoor een willekeurige externe partij niet direct je BSN heeft.

Yep. Behalve wanneer je dus een vennootschap, BV, NV oid start. Dan krijg je wel een uniek nummertje toegewezen. Omdat dat mogelijk uit meerdere natuurlijke personen bestaat.
De ZZP'er, aka eenmanszaak is dit niet het geval en houden ze inderdaad je BSN aan. (Keek ik zelf toen der tijd ook wel van op)
Mijn BSN staat dan dus ook nu al jaren op het internet, maar heb nog geen rare bestellingen aan de deur gehad.


En over privacy gesproken, dan is het gebruik van Gmail ook niet eh, 10/10

Tsurany schreef op donderdag 23 november 2017 @ 20:20:
[...]

En waar ben je dan precies bang voor? Dat iemand extra inkomsten aangeeft?

Ik ben nergens bang voor, is gewoon simpele eis van belastingdienst en daarom staat het dus ook op loonstroken etc. puur controle. Jij doet je aangfite, belasting krijgt gegevens uit andere bron, is 1+1 geen 2 dan krijg je de inspecteur langs als bedrijf of werknemer om te voorkomen dat iemand te [bweinig][/b] aangeeft.

Overigens ben je als werkgever ook wettelijk verplicht de identiteit van je medewerker te controleren en een kopie te bewaren: https://www.rijksoverheid...an-de-identificatieplicht. En daarmee ben je dus als werkgever ook ineens verantwoordelijk als je een medewerker in dienst hebt zonder BSN (EU burger die in NL komt werken) of geen (geldige) werkvergunning heeft (migrant etc)

[ Voor 31% gewijzigd door Sander op 23-11-2017 20:24 ]

Sander schreef op donderdag 23 november 2017 @ 20:22:
[...]


Ik ben nergens bang voor, is gewoon simpele eis van belastingdienst en daarom staat het dus ook op loonstroken etc. puur controle. Jij doet je aangfite, belasting krijgt gegevens uit andere bron, is 1+1 geen 2 dan krijg je de inspecteur langs als bedrijf of werknemer om te voorkomen dat iemand te [bweinig][/b] aangeeft.

Ah, je had dus niet door dat ik het over bedrijven anders dan de eigen werkgever had.

Dat heeft trouwens weinig te maken met naïef zijn, pak het woordenboek er maar bij.

[ Voor 8% gewijzigd door Tsurany op 23-11-2017 20:23 ]

mainvoid schreef op donderdag 23 november 2017 @ 20:24:
[...]


Met een BV moet je dan weer oppassen dat je niet je volledige naam als naam voor je BV gebruikt; mocht er dan een keer iets verkeerd gaan dan mogen ze (dacht ik) wel je bv-naam gewoon noemen in het nieuws, dus Jan P van Jan Pieter BV.

Dat Gmail niet helemaal top is weet ik ook inderdaad, heb wel geprobeerd op een raspberry pi en later een Intel Nuc een klein thuisservertje te draaien alleen gezien ik internet heb via Tele2 is poort 25 geblokkeerd:(

Volgens mij mogen ze sowieso je naam noemen in het nieuws, maar is het gebruikelijk dat niet te doen. In documenten van het gerechtshof staat ook gewoon je volle naam.