Notaris gebruikt verkeerd emailadres... AVG datalek of niet

Zolang jij niet bij de daadwerkelijke documenten kan en daarmee vertrouwelijke (persoons-)gegevens kan bekijken niet bij mijn weten. Je weet wel context (dinges wil een huis kopen), maar dat is niet perse iets waar de AP wakker van ligt.

Ik vind dit wel een beetje spijkers op laag water zoeken. Het is al best netjes dat de documenten niet gewoon in de mail zitten. Dat zwakke wachtwoord lijkt mij een veel groter probleem dan dat jij nu weet dat jouw naamgenoot een huis koopt.

Ja, een naam is een persoonsgegeven . Is de informatie echter te herleiden naar een natuurlijk persoon?

En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.

Orion84 schreef op donderdag 14 mei 2020 @ 16:53:
En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.

Dat ja.

Het is een datalek, het is goed om het aan de notaris te vertellen, maar het zou me verbazen als die het nodig gaat vinden om ook aan de AP te melden. (Of zelfs aan de andere Albanter - gezien de eerlijke werkwijze van de ene ontvanger van de mail). Niet ieder lek hoeft gemeld te worden.

Mx. Alba schreef op donderdag 14 mei 2020 @ 16:42:
[...]


Dat klopt... Maar een naam is ook een persoonsgegeven toch? En door de vrij simpel te kraken "beveiliging" van de documenten is het niet ondenkbaar dat ik toegang heb gehad tot die documenten, ondanks dat ik aan de notaris heb gemeld dat ik de documenten niet zou openen...

Het kwalificeert als datalek. Want aan jou is de naam van deze persoon bekend gemaakt.

Maar veel is er niet aan de hand. Het is voor de notaris in ieder geval niet meldingsplichtig, is mijn inschatting. Dat zou mogelijk anders zijn geweest als de documenten niet beveiligd waren.

Wel zal de notaris het datalek moeten registreren in de eigen administratie.

Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?

Alleen de namen zijn dus gelekt, meldt dit lekker aan de notaris en verwijder de mail.

[ Voor 6% gewijzigd door Vorkie op 15-05-2020 09:32 ]

Is dit zorgelijk, ja! Inderdaad erg slordig van de notaris, maar het blijven mensen.

Is dit een datalek, nee! De schade is beperkt, jij weet nu dat je niet de enige bent met jouw achternaam en welke vriendin/vrouw hij heeft. Het is maar bij 1 persoon beland en is dus niet vrij toegankelijk.

Tenminste het is geen datalek als je een te vertrouwen persoon bent en het niet verder verspreid..
Gewoon notaris op de hoogte stellen en zij regelen het zelf wel.

Storm in glas water.

Toevoeging, super netjes van de notaris dat ze het via een fileshare doen.. de meesten gooien het nog gewoon in de bijlage volgens mij.

[ Voor 12% gewijzigd door Blinkiej op 15-05-2020 09:34 ]

Gegevens lijken dus enigszins beveiligd te zijn. Er is geen man overboord.
Bel die notaris terug, dan word het snel gecorrigeerd.

Als ik de rechtmatige geadresseerd zou zijn, zou ik niet leuk vinden als zo een document onnodig wacht, omdat het verkeerd gerouteerd is. Kan zelfs nare gevolgen hebben voor de daadwerkelijke koop.

* _Apache_ zat zelf constant op mijn email om dit soort dingen te verwerken. Zal de makelaar en notaris wel niet leuk gevonden hebben, het is gelukkig maar ongeveer de grootste aankoop van je leven..

Vorkie schreef op vrijdag 15 mei 2020 @ 09:32:
Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?

Waar haal je vandaan dat er een SMS code verstuurd zou worden?

Ja het is een datalek, maar vervolgens komt de belangenafweging.
Hoeveel schade ondervind de betrokkene van het lek?
Kun je 'm gaan stalken omdat je nu weet waar ie gaat wonen?
Kortom volgens een incidentenproces moet de notaris hierin de afweging maken of het meldenswaardig is.
Lijkt mij in ieder geval niet. Ook hoeft m.i. de betrokkene niet geïnformeerd te worden.
Wel zoals gezegd moet er een registratie plaatsvinden ter verantwoording.

Drardollan schreef op vrijdag 15 mei 2020 @ 09:49:
[...]

Waar haal je vandaan dat er een SMS code verstuurd zou worden?

Is uitgelegd in eerste post. Maar vlgns mij is dat gewoon het ww en niet een sms die je dan krijgt.

Mx. Alba schreef op donderdag 14 mei 2020 @ 16:33:

In de email stond een link naar een fileshare systeem. Dat blijkt beveiligd te zijn door een simpel "de laatste twee cijfers van uw telefoonnummer zijn <XX>; typ ter authenticatie de laatse vier cijfers van uw telefoonnummer in"

[ Voor 5% gewijzigd door Blinkiej op 15-05-2020 09:52 ]

Blinkiej schreef op vrijdag 15 mei 2020 @ 09:51:
[...]


Is uitgelegd in eerste post. Maar vlgns mij is dat gewoon het ww en niet een sms die je dan krijgt.


[...]

Daar staat dat je de laatste 4 cijfers van je telefoonnummer moet intypen inderdaad, meer niet.

[ Voor 6% gewijzigd door Drardollan op 15-05-2020 09:55 ]

Ik zou het expliciet vragen om het niet via internet of mail te doen. iig bij dit soort belangrijke dingen, ga ik wel zelf halen en brengen, voor zover mogelijk.

Ja ik denk dan even verder en denk dan "bij een notaris kan je heel veel wensen/eisen vast laten leggen", dus dit kan vast ook wel.

[ Voor 5% gewijzigd door Mel33 op 15-05-2020 10:24 ]

Drardollan schreef op vrijdag 15 mei 2020 @ 09:49:
[...]

Waar haal je vandaan dat er een SMS code verstuurd zou worden?

Omdat mijn huis verkocht is en ik alles vanaf afstand doe met de notaris van de kopers.

In mijn geval is het mijn.dataplaza.nl

Mx. Alba schreef op vrijdag 15 mei 2020 @ 10:31:
[...]


Dit was dus geen SMS code. De laatste twee cijfers van het telefoonnummer werden gegeven, en de laatste vier cijfers van het telefoonnummer werden gevraagd ter authenticatie... Minimale beveiliging dus die bij de meeste mensen met een beetje doxxen is te breken.

Hoe weet je dat het geen SMS code is dan? Heb je het nummer geraden?

Bij mij staat er:

Om zeker te weten dat dit uw mobiele nummer is, voert u de laatste 4 cijfers in inclusief xx en klikt u op 'Verstuur code' om uw code te ontvangen.

[ Voor 17% gewijzigd door Vorkie op 15-05-2020 10:35 ]

Vorkie schreef op vrijdag 15 mei 2020 @ 10:35:
[...]


Hoe weet je dat het geen SMS code is dan? Heb je het nummer geraden?

Bij mij staat er:


[...]

Draai het eens om. Hoe weet jij zo zeker dat het wel zo is? Iets met omgekeerde bewijslast.

En niet elke notaris gebruikt dezelfde systemen.. en anno 2020 wordt beveiliging nog steeds niet door iedereen even serieus genomen.

Grvy schreef op vrijdag 15 mei 2020 @ 10:42:
[...]


Draai het eens om. Hoe weet jij zo zeker dat het wel zo is? Iets met omgekeerde bewijslast.

En niet elke notaris gebruikt dezelfde systemen.. en anno 2020 wordt beveiliging nog steeds niet door iedereen even serieus genomen.

Je hebt gelijk, maar notarissen hebben over het algemeen ook algemene brancherichtlijnen

Drardollan schreef op vrijdag 15 mei 2020 @ 11:52:
[...]

OK, en jij hebt dezelfde notaris als @Mx. Alba noemt?

Waarschijnlijk niet, dus ik heb nog steeds geen idee waarom je denkt dat er een SMS code verstuurd zou worden. @Mx. Alba geeft duidelijk aan dat dit niet het geval is.

Misschien ff zijn laatste reactie lezen ipv in de aanval.

Hoewel het natuurlijk kan dat er daarna nog een SMS authenticatie gedaan wordt, dat weet ik niet omdat ik niet verder gekeken heb.

Drardollan schreef op vrijdag 15 mei 2020 @ 11:57:
[...]
De providers in Nederland zijn verplicht logs bij te houden van iedereen, dus het zou eenvoudig te achterhalen zijn wie er gekeken heeft (tenzij VPN).

Wel goed om even te benadrukken dat je hier hostingproviders bedoelt en niet internetproviders. Ze kunnen niet zomaar Ziggo vragen wie er allemaal die pagina heeft bezocht

Allereerst in het algemeen:

• ik weet dat een aantal reacties van Tweakers komen die werkzaam zijn in de (hoek) van informatieveiligheid en privacy;
• ik heb veel praktijkervaring met deze onderwerpen in de hoek van juridische dienstverlening; waaronder notarissen.

Mx. Alba schreef op donderdag 14 mei 2020 @ 16:33:
Ik kreeg net een mailtje van een notaris waarin stond dat mijn koopovereenkomst online voor me klaarstond. In de aanhef stond "aan meneer <mijn achternaam> en mevrouw <een andere achternaam die ik niet ken>"... Oftewel, ze hebben die andere meneer "Albantar" dus willen aanschrijven, maar mijn emailadres gebruikt.

In de email stond een link naar een fileshare systeem. Dat blijkt beveiligd te zijn door een simpel "de laatste twee cijfers van uw telefoonnummer zijn <XX>; typ ter authenticatie de laatse vier cijfers van uw telefoonnummer in" dus ik heb geen toegang tot de toegestuurde gegevens anders dan dat ik nu weet dat ene meneer "Albantar" en mevrouw "onbekende achternaam" een huis aan het kopen zijn. Voor de duidelijkheid, ik was niet van plan om die documenten daadwerkelijk te gaan inzien of te downloaden, maar ik wilde alleen controleren of er nog een extra beveiliging op zat. Dat bleek dus het geval, maar een beveiliging van dit type is natuurlijk niet erg sterk; ik ga natuurlijk geen poging doen om via doxxen achter het juiste telefoonnummer te komen, hoewel dat vrij triviaal zou kunnen zijn waardoor een kwaadwillende wel toegang tot die gegevens had kunnen krijgen.

Nu is mijn vraag... Is dit een datalek volgens de AVG? Want ik vind het toch wel vrij zorgelijk dat een notaris zomaar zulke belangrijke documenten, waarin zonder twijfel veel persoonsgegevens staan, naar een onbekende derde partij stuurt door het gebruiken van een verkeerd emailadres, waar in ieder geval de slachtoffers (die meneer "Albantar" en mevrouw "onbekend") van op de hoogte gesteld zouden moeten worden door die notaris.

toon volledige bericht

Het is zondermeer een incident dat je het beste kan melden aan de notaris. Het is in principe aan de notaris om te bepalen of het een meldplichtig incident is of niet. Desalniettemin vraag ik een instantie waar ik iets dergelijks meld expliciet om mij op de hoogte te houden.

Als ze hun incidenten proces een beetje op orde hebben doen ze dat zeker. Onderdeel hiervan zou verzoek tot en bevestiging van verwijdering van de informatie zijn en de verklaring dat er verder niets mee is gebeurd. In een notendop; het proces behoort nog wel wat stappen te bevatten natuurlijk.
Er zijn, al dan niet, herleidbare persoonsgegevens gelekt. Welke impact dit op de persoonlijke levenssfeer heeft en wat de vervolgstappen behoren te zijn is zondere verdere informatie niet te beoordelen. Als de notaris aan de hand van alle tot hun beschikking staande informatie niet kan uitsluiten dat er sprake kan zijn van negatieve gevolgen voor de persoonlijke levenssfeer van betrokkene(n) dan zal het gemeld moeten worden bij de autoriteit. Impliciet betekent dat dat ook de betrokkene(n) op de hoogte moet worden gesteld.

Wish schreef op donderdag 14 mei 2020 @ 16:38:
Zolang jij niet bij de daadwerkelijke documenten kan en daarmee vertrouwelijke (persoons-)gegevens kan bekijken niet bij mijn weten. Je weet wel context (dinges wil een huis kopen), maar dat is niet perse iets waar de AP wakker van ligt.

Dat is een incorrecte aanname. Ik heb e.e.a. zo goed mogelijk verwoord in mijn reactie bovenstaand.

Mx. Alba schreef op donderdag 14 mei 2020 @ 16:42:
Dat klopt... Maar een naam is ook een persoonsgegeven toch? En door de vrij simpel te kraken "beveiliging" van de documenten is het niet ondenkbaar dat ik toegang heb gehad tot die documenten, ondanks dat ik aan de notaris heb gemeld dat ik de documenten niet zou openen...

Dat is correct. Het e-mail adres is in principe ook een persoonsgegeven (uitzonderingen daargelaten)
En m.b.t. 'het kraken' geldt inderdaad dat de notaris hier vervolg onderzoek naar moet doen naast jouw 'blauwe ogen, hand op het hart'.

downtime schreef op donderdag 14 mei 2020 @ 16:49:
Ik vind dit wel een beetje spijkers op laag water zoeken. Het is al best netjes dat de documenten niet gewoon in de mail zitten. Dat zwakke wachtwoord lijkt mij een veel groter probleem dan dat jij nu weet dat jouw naamgenoot een huis koopt.

Nou, persoonlijk draai ik het liever om; het zou verschrikkelijk zijn als een, notabene, notaris dit direct in een e-mail zou kwakken. Los van de discussie over de ogenschijnlijk belabberde beveilging van het online dossier.

Wish schreef op donderdag 14 mei 2020 @ 16:49:
Ja, een naam is een persoonsgegeven . Is de informatie echter te herleiden naar een natuurlijk persoon?

Dat kunnen wij niet zondermeer beoordelen; het is aan de notaris om vast te stellen of het herleidbaar is. En wellicht kan TS dat ook vrij snel gezien zijn opmerking m.b.t. realtief weinig voorkomende naam.

Orion84 schreef op donderdag 14 mei 2020 @ 16:53:
En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.

Mijn ervaring is dat er bij notarissen, afhankelijk van de gebruikte software oplossingen, regelmatig verkeerde e-mail adressen, telefoonnummers, etc. c.q. personen/contacten aan een dossier worden gekoppeld.

In eerste instantie zou ik het niet bij de autoriteit (AP) melden. Als de opvolging van de notaris achterwege blijft of onvoldoende aanvoelt zou ik het zeker alsnog wel doen.

F_J_K schreef op donderdag 14 mei 2020 @ 17:22:
[...]

Dat ja.

Het is een datalek, het is goed om het aan de notaris te vertellen, maar het zou me verbazen als die het nodig gaat vinden om ook aan de AP te melden. (Of zelfs aan de andere Albanter - gezien de eerlijke werkwijze van de ene ontvanger van de mail). Niet ieder lek hoeft gemeld te worden.

Dat laatste, niet melden aan betrokkene, is in dit geval in principe onmogelijk. De notaris zal hier hoogstwaarschijnlijk vraag en antwoord moeten hanteren om een goede inschatting te kunnen maken over de mogelijke invloed van dit incident op de persoonlijke levenssfeer van betrokkene(n).

Killjoy schreef op donderdag 14 mei 2020 @ 22:34:
[...]
Wel zal de notaris het datalek moeten registreren in de eigen administratie.

Tenminste inderdaad.

Mx. Alba schreef op vrijdag 15 mei 2020 @ 09:26:
Er zal ergens door iemand een foutje zijn gemaakt in het doorgeven van het emailadres. Dat is natuurlijk iets wat kan voorkomen. Dat is waarom vrijwel alle websites waar je een account kunt maken tegenwoordig een bevestigingsmailtje met een URL of een code sturen om het emailadres te verifiëren. Ik vraag me echt af waarom een notaris dit niet doet, aangezien ze toch met gevoelige informatie werken... Al was het maar eerst een simpel testmailtje en dan per telefoon controleren of dat is aangekomen.

De meste voorkomende antwoorden daarop waren:

• zit niet in de software
• die optie kost extra geld
• is te veel moeite (ja, ja, het gaat weleens niet goed en je wil toch geen helpdesk zijn...)
• Hûh, waarom?! (bij zo weinig inlevingsvermogen van een notaris (klerk) maak ik me altijd zorgen om het gegeven juridisch advies, maar goed)

Vorkie schreef op vrijdag 15 mei 2020 @ 09:32:
Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?

Alleen de namen zijn dus gelekt, meldt dit lekker aan de notaris en verwijder de mail.

Dat is een aanname; daar kun je geen conclusie of advies aan verbinden.

Maar, inderdaad, meld het aan de notaris.

Blinkiej schreef op vrijdag 15 mei 2020 @ 09:32:
Is dit zorgelijk, ja! Inderdaad erg slordig van de notaris, maar het blijven mensen.

Is dit een datalek, nee! De schade is beperkt, jij weet nu dat je niet de enige bent met jouw achternaam en welke vriendin/vrouw hij heeft. Het is maar bij 1 persoon beland en is dus niet vrij toegankelijk.

Tenminste het is geen datalek als je een te vertrouwen persoon bent en het niet verder verspreid..
Gewoon notaris op de hoogte stellen en zij regelen het zelf wel.

Storm in glas water.

Toevoeging, super netjes van de notaris dat ze het via een fileshare doen.. de meesten gooien het nog gewoon in de bijlage volgens mij.

Persoonlijk vind ik een dergelijke reactie zorgelijk. Er is veel te weinig informatie beschikbaar om vast te stellen dat het al dan niet een datalek betreft, de schade beperkt is / zal zijn, of dat de informatie enkel bij TS bekend is.

_Apache_ schreef op vrijdag 15 mei 2020 @ 09:42:
Gegevens lijken dus enigszins beveiligd te zijn. Er is geen man overboord.
Bel die notaris terug, dan word het snel gecorrigeerd.

Bij voorkeur melden via e-mail i.v.m. vastlegging.

Als ik de rechtmatige geadresseerd zou zijn, zou ik niet leuk vinden als zo een document onnodig wacht, omdat het verkeerd gerouteerd is. Kan zelfs nare gevolgen hebben voor de daadwerkelijke koop.

Waar de notaris verwantwoordelijkheid voor zou kunnen dragen. Vandaar mijn opmerking m.b.t. vastlegging melding.

magic_nl schreef op vrijdag 15 mei 2020 @ 09:50:
Ja het is een datalek, maar vervolgens komt de belangenafweging.
Hoeveel schade ondervind de betrokkene van het lek?
Kun je 'm gaan stalken omdat je nu weet waar ie gaat wonen?
Kortom volgens een incidentenproces moet de notaris hierin de afweging maken of het meldenswaardig is.
Lijkt mij in ieder geval niet. Ook hoeft m.i. de betrokkene niet geïnformeerd te worden.
Wel zoals gezegd moet er een registratie plaatsvinden ter verantwoording.

Ik ben blij dat incidentenproces wordt genoemd; echter geldt ook hier dat het inschatten of er al dan niet sprake is van een negatieve invloed op de persoonlijke levenssfeer vrijwel onmogelijk is zonder de betrokkene(n) te benaderen.

Vorkie schreef op vrijdag 15 mei 2020 @ 10:43:
[...]



Je hebt gelijk, maar notarissen hebben over het algemeen ook algemene brancherichtlijnen

Die hebben ze wel ja; zelfs een informatiebeveiligingsnorm. Daar is zo een beetje alles mee gezegd weet ik uit ervaring.

De 1 (ongeacht klein of groot) heeft het echt strak op orde, petje af, en daar kan de KNB nog een puntje aan zuigen. En de ander zou ik nog geen eens het wegbrengen van mijn vuilniszak aan durven toevertrouwen...

The Lord schreef op vrijdag 15 mei 2020 @ 15:24:
Dat laatste, niet melden aan betrokkene, is in dit geval in principe onmogelijk. De notaris zal hier hoogstwaarschijnlijk vraag en antwoord moeten hanteren om een goede inschatting te kunnen maken over de mogelijke invloed van dit incident op de persoonlijke levenssfeer van betrokkene(n).

AVG Art34 lid 1 stelt dat melden moet bij een waarschijnlijk hoog risico voor de rechten en vrijheden vd betrokkene. Lijkt me in deze casus niet aan de orde. (Ik meen dat de naam van de eigenaar van een pand zelfs semi-openbaar is, middels Kadaster eigendomsinformatierapport). En als wel, dan zijn alsnog de uitzonderingen a en b van lid 3 aan de orde. Desalniettemin is het inderdaad aan de notaris om die inschatting te maken.

F_J_K schreef op vrijdag 15 mei 2020 @ 15:35:
[...]

AVG Art34 lid 1 stelt dat melden moet bij een waarschijnlijk hoog risico voor de rechten en vrijheden vd betrokkene. Lijkt me in deze casus niet aan de orde. (Ik meen dat de naam van de eigenaar van een pand zelfs semi-openbaar is, middels Kadaster eigendomsinformatierapport). En als wel, dan zijn alsnog de uitzonderingen a en b van lid 3 aan de orde. Desalniettemin is het inderdaad aan de notaris om die inschatting te maken.

Los van de (stevige) discussie m.b.t. (openbare) registers; de beoordeling is inderdaad aan de notaris. Redelijke kans dat het allemaal wel losloopt, maar uit ervaring weet ik dat de praktijk weerbarstig is. En daarom hamer ik erop dat er hier geen directe conclusies kunnen worden getrokken.

Als voorbeeld: Verschillende notariskantoren droegen casussen aan, waarbij een vergaande achtergrond van betrokkenen bekend was en het duidelijk onmogelijk was geweest uit te sluiten dat er sprake was van een hoog risico zonder deze informatie. Die kantoren hebben allemaal besloten om in het geval van een incident altijd de betrokkene te informeren om zo in de gelegenheid te zijn d.m.v. Q&A vast te stellen wat de invloed op de persoonlijke levenssfeer is.

Als side-note: Andere kantoren hebben dit in de standaard procedure opgenomen na afweging van het risico dat e.e.a. in het openbaar komt c.q. niet via het kantoor bij betrokkene bekend wordt.

En natuurlijk bleef er ook een groep over die het allemaal maar onzin vindt.

Mx. Alba schreef op vrijdag 15 mei 2020 @ 09:26:
Er zal ergens door iemand een foutje zijn gemaakt in het doorgeven van het emailadres. Dat is natuurlijk iets wat kan voorkomen. Dat is waarom vrijwel alle websites waar je een account kunt maken tegenwoordig een bevestigingsmailtje met een URL of een code sturen om het emailadres te verifiëren. Ik vraag me echt af waarom een notaris dit niet doet, aangezien ze toch met gevoelige informatie werken... Al was het maar eerst een simpel testmailtje en dan per telefoon controleren of dat is aangekomen.

Niet om het een of ander, maar de notarissen die ik ken (zijn er een aantal) zijn geweldig slimme lui, maar niet als het op computers aankomt.
Is ook geen onwil maar hebben simpelweg niet de kennis in huis om zelfs maar van dat soort dingen af te weten.

Grotere notariskantoren besteden hun ICT uit, met wat geluk heeft hun ICT leverancier dat soort (relatief simpele) beveiligingen doorgevoerd. Maar de kleine notaris op de hoek, de éénpitter die het zelf moet doen? Vergeet dat maar rustig.