Welke voorwaarden zit er aan persoonsidentificatie?

Er zijn zeker wel regels en als het inderdaad klopt wat je zegt, is het wel een zeeer triest systeem.

Allicht is er een stok achter de deur dat je MFA kan/moet instellen op een 06-nummer ofzo.

Weet je zeker dat ALLE communicatie erin staat of pas vanaf, bijvoorbeeld, 1 september zodat iedereen tijd zat heeft om hun eigen account te claimen?

Neem aan dat de verhuurder je al een antwoord had gegeven op je constatering?

Is er verder geen info nodig ?
Dat lijkt mij niet de bedoeling
zijn er regels over identificatie ?

Is dit studentenhuisvesting? En dus weet je het rekeningnummer van je ganggenoot vanwege de gezamenlijke boodschappen?

Of is dit andersoortige huur waarbij je minder snel het rekeningnummer van de buren krijgt? Want "aflezen van bankpost" is ook niet legaal (door jou).

Pikoe schreef op maandag 23 juli 2018 @ 17:48:
[...]
Het is geen studentenwoning, maar ik heb wel eens geld naar (/van) mensen over gemaakt (gekregen).

Vind het lastig; op zich is het identiteitsfraude als je een account voor/van de buren aanmaakt. Aan de andere kant werkt de verhuurder erg suboptimaal aan de data/dossiers.

Ik zou ze eens goed op de hoogte stellen hierover en vragen hoe ze omgaan met "dubbele accountgegevens" (4 cijfers + adres in niet uniek alhoewel zeer kleine kans) en waarom je met de gegevens van de buurvrouw haar maandlasten kan inzien (ofzo).

Desnoods maak je samen met de buurvrouw bij haar een account en log je daarna (in goed overleg) in op jouw PC met alleen die 2 "basale" gegevens. Overhandig je samen met de buurvrouw de gegevens en IP's (indien gescheiden ISP lijnen) aan de verhuurder?

Pikoe schreef op dinsdag 24 juli 2018 @ 11:13:
Reactie van klantenservice:


[...]


Na wat extra aandringen:

[...]

Snel en veilig

Fucking bullshit. Het is vooral makkelijk en blijkbaar goedkoop. Veiligheid is nooit een vereiste geweest, anders waren ze wel met een beter systeem gekomen. Gelukkig voor ze dat er nog nooit mee gefraudeerd is, maar het systeem is echt een gatenkaas. Daarbij wordt er ook nog eens gevoelige informatie verwerkt. Uit de reactie blijkt ook niet enig gevoel van urgentie. De reactie maakt meteen overduidelijk dat ze compleet incompetent zijn op gebied van IT-veiligheid.

[ Voor 53% gewijzigd door Flimovic op 24-07-2018 11:20 ]

Elke vorm van gegevens invullen is onveilig.

Enige oplossing is dat de registratie alleen door gaat als men fysiek bij de woningbouwvereniging langs gaat, of een aangetekende brief die alleen expliciet door de ontvanger mag worden ontvangen.

Klant: Stukkie rekeningnummer en huisnummer, kan dat wel?
Expert: Kan, ik zou het niet doen maar het kan.
Klant: Ok, bedankt voor de input.

Ik had er minimaal nog een Email bevestiging aan gekoppeld. Probleem is dat de aanmaak van accounts altijd fraude gevoelig is. Aan de andere kant zit hier de risico afweging hoe groot is de kans en wat kan je ermee. Ja de betalingsachterstand kan gevoelig zijn, maar normaliter zie je dus weinig wat je al niet wist. En als je het rekening nummer weet dan weet je vast al meer.

Frogmen schreef op vrijdag 27 juli 2018 @ 10:39:
Ik had er minimaal nog een Email bevestiging aan gekoppeld.

Precies, je wilt hier op een of andere manier validatie, of op zijn aller-aller-minst notificatie via een bestaand communicatie kanaal. Dus of initieel wachtwoord via post of activatiecode via een reeds bekend emailadres/telefoonnummer of iets dergelijks. Of op zijn minst inderdaad een notificatie dat er een account is aangemaakt.

[ Voor 23% gewijzigd door Orion84 op 27-07-2018 11:05 ]

Frogmen schreef op vrijdag 27 juli 2018 @ 10:39:
Ik had er minimaal nog een Email bevestiging aan gekoppeld. Probleem is dat de aanmaak van accounts altijd fraude gevoelig is. Aan de andere kant zit hier de risico afweging hoe groot is de kans en wat kan je ermee. Ja de betalingsachterstand kan gevoelig zijn, maar normaliter zie je dus weinig wat je al niet wist. En als je het rekening nummer weet dan weet je vast al meer.

Normaliter, ja.

En wat als je ziet dat de buren flink minder huur betalen dan jij? Of dat andere buren dus inderdada regelmatig een betalingsachterstand hebben?

Financiele gegevens mogen onder geen beding bij derden belanden. Als dat gebeurt is er sprake van een datalek.

Deze organisatie voldoet simpelweg niet aan de vereisten van zorgvuldigheid met betrekkening tot het verwerken en beschermen van persoonsgegevens. Als hun "privacy- en securityspecialisten" dit goed vinden zijn ze die titel simpelweg niet waard. De aanname "Als het goed is bent u de enige die weet met welk rekeningnummer u de huur betaald" is, los van de knullige d/t-fout, sowieso al te absurd voor woorden. Een rekeningnummer is niet geheim, maar juist gemaakt om met Jan en Alleman gedeeld te worden. Als iemand na een buurtbarbeque de voorgeschoten kosten terugkrijgt weet ie van iedereen het rekeningnummer - en de kans is vrij groot dat dat toevallig het rekeningnummer is waarvan de huur betaald wordt.

Klopt maar soms moet je dus ook de risico's relativeren. Bedenk ook wat kom je extra over iemand te weten wat je niet al wist, of wat duidelijk herleidbaar is uit aan andere gegevens.

Het lijkt mij dat ze het systeem niet hebben ontworpen vanuit het principe zoals dat beschreven staat in Artikel 25 van de GDPR. Ze moeten redelijke maatregelen nemen om die gegevens te beschermen, en alleen een rekeningnummer + huisnummer is niet voldoende, daar het om persoonlijke gegevens gaat. Ik zou er op zijn minst nog eens een bericht aan wagen, en wijzen op het feit dat dit echt niet afdoende beveiligd is. Als er nu fraude plaats vindt dan hadden ze dat kunnen voorkomen, omdat ze al weten dat het niet afdoende is beveiligd.

Frogmen schreef op vrijdag 27 juli 2018 @ 11:18:
Klopt maar soms moet je dus ook de risico's relativeren. Bedenk ook wat kom je extra over iemand te weten wat je niet al wist, of wat duidelijk herleidbaar is uit aan andere gegevens.

Dat je buren in de financiele problemen zitten? Dat is niet noodzakelijkerwijs iets wat je van ze weet, of iets waarvan zij graag willen dat jij dat weet.

Het is een veelgemaakte fout om te onderschatten wat er fout kan gaan als persoonlijke gegevens bij de verkeerde persoon terecht komen. Doe inderdaad wat je zelf aangeeft: realiseer je terdege wat je extra over iemand te weten komt wat je niet als wirst en waar je niets me ete maken hebt. Het is meer dan je denkt.

Maar je weet wel hun bankrekeningnummer? En je gaat bewust op zoek naar gegevens waarbij je je uitgeeft voor iemand anders? Vindt wel dat er erg gemakkelijk over bepaalde stappen heengestapt wordt. Vergeet niet als ik aanbel kom ik ook heel veel te weten.

Frogmen schreef op vrijdag 27 juli 2018 @ 12:08:
Maar je weet wel hun bankrekeningnummer? En je gaat bewust op zoek naar gegevens waarbij je je uitgeeft voor iemand anders? Vindt wel dat er erg gemakkelijk over bepaalde stappen heengestapt wordt. Vergeet niet als ik aanbel kom ik ook heel veel te weten.

Als je aanbelt kom je niet meer te weten dan wat de buurman/-vrouw in kwestie je te weten laat komen. Terwijl je via deze lekke authenticatiemethode gewoon (naar het zich laat aanzien) ongemerkt in andermans gegevens en communicatie kan neuzen.

Sowieso, dat is toch op geen enkele manier een excuus om een IT systeem niet fatsoenlijk te beveiligen? Ja, dat is altijd een kosten vs. risico afweging. Maar het risico op ongeauthoriseerde toegang tot gevoelige persoonsgegevens is hier helder, terwijl de meerkosten om het fatsoenlijk op te lossen vrij gering zouden moeten zijn.

Is er in NL geen privacy commissie?

Ik zou daar melding bij doen, want dit is echt niet OK!
Je hebt al direct bij hen de vraag gelegd, en geen goed antwoord gekregen.

Tommie12 schreef op vrijdag 27 juli 2018 @ 12:12:
Is er in NL geen privacy commissie?

Ik zou daar melding bij doen, want dit is echt niet OK!
Je hebt al direct bij hen de vraag gelegd, en geen goed antwoord gekregen.

Jawel, de Autoriteit Persoonsgegevens. Als ze bij hun huidige standpunt blijven zou ik inderdaad ook zeker overwegen daar melding te doen.

Orion84 schreef op vrijdag 27 juli 2018 @ 12:15:
[...]

Jawel, de Autoriteit Persoonsgegevens. Als ze bij hun huidige standpunt blijven zou ik inderdaad ook zeker overwegen daar melding te doen.

Ik zou sowieso een melding doen. Dit soort prutswerk moet te vuur en te zwaard bestreden worden.

Dido schreef op vrijdag 27 juli 2018 @ 13:32:
[...]


Echt, vanwaar de weerstand tegen het idee dat dit soort gegevens zeer goed beschermd zouden moeten worden? Een vage variant op "ik heb toch niets te verbergen"?

Het gaat erom dat het afdoende afgeschermd is ten opzichte van de risico's om de simpele reden dat zeer goed soms buitensporig duur is ten opzichte van het risico.
We vinden al heel erg lang dat het briefgeheim voldoende veilig is terwijl iedereen een envelop open kan stomen. Dus soms wat zaken relatieveren kan helpen. Verder zei ik al in mijn eerste opmerking dat ik wel vind dat er nog een bevestiging of verificatie had gekunt. In deze zou een bevestigingsbrief ook al voldoende kunnen zijn, in mijn ogen.