Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Notaris gebruikt verkeerd emailadres... AVG datalek of niet

Pagina: 1
Acties:

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Ik kreeg net een mailtje van een notaris waarin stond dat mijn koopovereenkomst online voor me klaarstond. In de aanhef stond "aan meneer <mijn achternaam> en mevrouw <een andere achternaam die ik niet ken>"... Oftewel, ze hebben die andere meneer "Albantar" dus willen aanschrijven, maar mijn emailadres gebruikt.

In de email stond een link naar een fileshare systeem. Dat blijkt beveiligd te zijn door een simpel "de laatste twee cijfers van uw telefoonnummer zijn <XX>; typ ter authenticatie de laatse vier cijfers van uw telefoonnummer in" dus ik heb geen toegang tot de toegestuurde gegevens anders dan dat ik nu weet dat ene meneer "Albantar" en mevrouw "onbekende achternaam" een huis aan het kopen zijn. Voor de duidelijkheid, ik was niet van plan om die documenten daadwerkelijk te gaan inzien of te downloaden, maar ik wilde alleen controleren of er nog een extra beveiliging op zat. Dat bleek dus het geval, maar een beveiliging van dit type is natuurlijk niet erg sterk; ik ga natuurlijk geen poging doen om via doxxen achter het juiste telefoonnummer te komen, hoewel dat vrij triviaal zou kunnen zijn waardoor een kwaadwillende wel toegang tot die gegevens had kunnen krijgen. :D

Nu is mijn vraag... Is dit een datalek volgens de AVG? Want ik vind het toch wel vrij zorgelijk dat een notaris zomaar zulke belangrijke documenten, waarin zonder twijfel veel persoonsgegevens staan, naar een onbekende derde partij stuurt door het gebruiken van een verkeerd emailadres, waar in ieder geval de slachtoffers (die meneer "Albantar" en mevrouw "onbekend") van op de hoogte gesteld zouden moeten worden door die notaris.

[Voor 4% gewijzigd door Albantar op 14-05-2020 16:35]

Wubba lubba dub dub! В темноте всё кошки серы...


  • Wish
  • Registratie: juni 2006
  • Laatst online: 16:42

Wish

ingwell

Zolang jij niet bij de daadwerkelijke documenten kan en daarmee vertrouwelijke (persoons-)gegevens kan bekijken niet bij mijn weten. Je weet wel context (dinges wil een huis kopen), maar dat is niet perse iets waar de AP wakker van ligt.

No drama


  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Wish schreef op donderdag 14 mei 2020 @ 16:38:
Zolang jij niet bij de daadwerkelijke documenten kan en daarmee vertrouwelijke (persoons-)gegevens kan bekijken niet bij mijn weten. Je weet wel context (dinges wil een huis kopen), maar dat is niet perse iets waar de AP wakker van ligt.
Dat klopt... Maar een naam is ook een persoonsgegeven toch? En door de vrij simpel te kraken "beveiliging" van de documenten is het niet ondenkbaar dat ik toegang heb gehad tot die documenten, ondanks dat ik aan de notaris heb gemeld dat ik de documenten niet zou openen...

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • +4Henk 'm!

  • downtime
  • Registratie: januari 2000
  • Niet online

downtime

Everybody lies

Ik vind dit wel een beetje spijkers op laag water zoeken. Het is al best netjes dat de documenten niet gewoon in de mail zitten. Dat zwakke wachtwoord lijkt mij een veel groter probleem dan dat jij nu weet dat jouw naamgenoot een huis koopt.

  • Wish
  • Registratie: juni 2006
  • Laatst online: 16:42

Wish

ingwell

Ja, een naam is een persoonsgegeven :) . Is de informatie echter te herleiden naar een natuurlijk persoon?

No drama


Acties:
  • +7Henk 'm!

  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Wish schreef op donderdag 14 mei 2020 @ 16:49:
Ja, een naam is een persoonsgegeven :) . Is de informatie echter te herleiden naar een natuurlijk persoon?
In combinatie met de achternaam van die andere persoon die samen een huis kopen en dus waarschijnlijk een relatie hebben lijkt me dat niet ondenkbaar, vooral aangezien mijn achternaam niet erg common is. Buiten mijn directe familie ken ik niemand anders met dezelfde achternaam. En deze meneer in kwestie zal vast ook binnen een graad of 6 aan mij verwant zijn.
Orion84 schreef op donderdag 14 mei 2020 @ 16:53:
En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.
Dat is ook wat ik heb gedaan. Toch knaagde het wel vandaar mijn vraag hier. :)

[Voor 28% gewijzigd door Albantar op 14-05-2020 16:56]

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • +1Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Orion84 schreef op donderdag 14 mei 2020 @ 16:53:
En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.
Dat ja.

Het is een datalek, het is goed om het aan de notaris te vertellen, maar het zou me verbazen als die het nodig gaat vinden om ook aan de AP te melden. (Of zelfs aan de andere Albanter - gezien de eerlijke werkwijze van de ene ontvanger van de mail). Niet ieder lek hoeft gemeld te worden.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1Henk 'm!

  • Killjoy
  • Registratie: november 2000
  • Laatst online: 08:30

Killjoy

Klingon lawn products

Albantar schreef op donderdag 14 mei 2020 @ 16:42:
[...]


Dat klopt... Maar een naam is ook een persoonsgegeven toch? En door de vrij simpel te kraken "beveiliging" van de documenten is het niet ondenkbaar dat ik toegang heb gehad tot die documenten, ondanks dat ik aan de notaris heb gemeld dat ik de documenten niet zou openen...
Het kwalificeert als datalek. Want aan jou is de naam van deze persoon bekend gemaakt.

Maar veel is er niet aan de hand. Het is voor de notaris in ieder geval niet meldingsplichtig, is mijn inschatting. Dat zou mogelijk anders zijn geweest als de documenten niet beveiligd waren.

Wel zal de notaris het datalek moeten registreren in de eigen administratie.

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.


Acties:
  • 0Henk 'm!

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Er zal ergens door iemand een foutje zijn gemaakt in het doorgeven van het emailadres. Dat is natuurlijk iets wat kan voorkomen. Dat is waarom vrijwel alle websites waar je een account kunt maken tegenwoordig een bevestigingsmailtje met een URL of een code sturen om het emailadres te verifiëren. Ik vraag me echt af waarom een notaris dit niet doet, aangezien ze toch met gevoelige informatie werken... Al was het maar eerst een simpel testmailtje en dan per telefoon controleren of dat is aangekomen.

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • +2Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?

Alleen de namen zijn dus gelekt, meldt dit lekker aan de notaris en verwijder de mail.

[Voor 6% gewijzigd door KRGT op 15-05-2020 09:32]


Acties:
  • +2Henk 'm!

  • Blinkiej
  • Registratie: juli 2014
  • Laatst online: 20-05 09:23
Is dit zorgelijk, ja! Inderdaad erg slordig van de notaris, maar het blijven mensen.

Is dit een datalek, nee! De schade is beperkt, jij weet nu dat je niet de enige bent met jouw achternaam en welke vriendin/vrouw hij heeft. Het is maar bij 1 persoon beland en is dus niet vrij toegankelijk.

Tenminste het is geen datalek als je een te vertrouwen persoon bent en het niet verder verspreid..
Gewoon notaris op de hoogte stellen en zij regelen het zelf wel.

Storm in glas water.

Toevoeging, super netjes van de notaris dat ze het via een fileshare doen.. de meesten gooien het nog gewoon in de bijlage volgens mij.

[Voor 12% gewijzigd door Blinkiej op 15-05-2020 09:34]


Acties:
  • +1Henk 'm!

  • _Apache_
  • Registratie: juni 2007
  • Laatst online: 18:17

_Apache_

For life.

Gegevens lijken dus enigszins beveiligd te zijn. Er is geen man overboord.
Bel die notaris terug, dan word het snel gecorrigeerd.

Als ik de rechtmatige geadresseerd zou zijn, zou ik niet leuk vinden als zo een document onnodig wacht, omdat het verkeerd gerouteerd is. Kan zelfs nare gevolgen hebben voor de daadwerkelijke koop.

* _Apache_ zat zelf constant op mijn email om dit soort dingen te verwerken. Zal de makelaar en notaris wel niet leuk gevonden hebben, het is gelukkig maar ongeveer de grootste aankoop van je leven..

Zonneboiler | Zonnepanelen


Acties:
  • +1Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
KRGT schreef op vrijdag 15 mei 2020 @ 09:32:
Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?
Waar haal je vandaan dat er een SMS code verstuurd zou worden?

Acties:
  • 0Henk 'm!

  • magic_nl
  • Registratie: augustus 2000
  • Laatst online: 16:49

magic_nl

Met wat magie komt alles goed

Ja het is een datalek, maar vervolgens komt de belangenafweging.
Hoeveel schade ondervind de betrokkene van het lek?
Kun je 'm gaan stalken omdat je nu weet waar ie gaat wonen?
Kortom volgens een incidentenproces moet de notaris hierin de afweging maken of het meldenswaardig is.
Lijkt mij in ieder geval niet. Ook hoeft m.i. de betrokkene niet geïnformeerd te worden.
Wel zoals gezegd moet er een registratie plaatsvinden ter verantwoording.

Leef vandaag! Wat gisteren gebeurde is voorbij, en wat morgen komt zien we dan wel weer
Systeemspecificaties


Acties:
  • +1Henk 'm!

  • Blinkiej
  • Registratie: juli 2014
  • Laatst online: 20-05 09:23
Drardollan schreef op vrijdag 15 mei 2020 @ 09:49:
[...]

Waar haal je vandaan dat er een SMS code verstuurd zou worden?
Is uitgelegd in eerste post. Maar vlgns mij is dat gewoon het ww en niet een sms die je dan krijgt.
Albantar schreef op donderdag 14 mei 2020 @ 16:33:

In de email stond een link naar een fileshare systeem. Dat blijkt beveiligd te zijn door een simpel "de laatste twee cijfers van uw telefoonnummer zijn <XX>; typ ter authenticatie de laatse vier cijfers van uw telefoonnummer in"

[Voor 5% gewijzigd door Blinkiej op 15-05-2020 09:52]


Acties:
  • +1Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
Blinkiej schreef op vrijdag 15 mei 2020 @ 09:51:
[...]


Is uitgelegd in eerste post. Maar vlgns mij is dat gewoon het ww en niet een sms die je dan krijgt.


[...]
Daar staat dat je de laatste 4 cijfers van je telefoonnummer moet intypen inderdaad, meer niet.

[Voor 6% gewijzigd door Drardollan op 15-05-2020 09:55]


Acties:
  • 0Henk 'm!

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Drardollan schreef op vrijdag 15 mei 2020 @ 09:55:
[...]

Daar staat dat je de laatste 4 cijfers van je telefoonnummer moet intypen inderdaad, meer niet.
Yup, dus stel dat mij dat zou zijn overkomen... Ik heb een eigen bedrijfje dus mijn telefoonnummer is heel eenvoudig te achterhalen, en bam, een kwaadwillende verkeerd geadresseerde heeft toegang tot die documenten waarin veel informatie staat zoals volledige naam (die ik in het dagelijks leven niet gebruik), geboortedatum, geboorteplaats, (toekomstig) adres, financiële informatie... Niet prettig.

[Voor 3% gewijzigd door Albantar op 15-05-2020 10:09]

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • 0Henk 'm!

  • Mel33
  • Registratie: oktober 2009
  • Laatst online: 13:47
Ik zou het expliciet vragen om het niet via internet of mail te doen. iig bij dit soort belangrijke dingen, ga ik wel zelf halen en brengen, voor zover mogelijk.

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd


Acties:
  • 0Henk 'm!

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
Mel33 schreef op vrijdag 15 mei 2020 @ 10:13:
Ik zou het expliciet vragen om het niet via internet of mail te doen. iig bij dit soort belangrijke dingen, ga ik wel zelf halen en brengen, voor zover mogelijk.
Ja maar dat kan tegenwoordig een beetje problematisch zijn natuurlijk... Wellicht werkt de notaris ook thuis en is het notariskantoor niet open?

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • 0Henk 'm!

  • Mel33
  • Registratie: oktober 2009
  • Laatst online: 13:47
Ja ik denk dan even verder en denk dan "bij een notaris kan je heel veel wensen/eisen vast laten leggen", dus dit kan vast ook wel.

[Voor 5% gewijzigd door Mel33 op 15-05-2020 10:24]

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Drardollan schreef op vrijdag 15 mei 2020 @ 09:49:
[...]

Waar haal je vandaan dat er een SMS code verstuurd zou worden?
Omdat mijn huis verkocht is en ik alles vanaf afstand doe met de notaris van de kopers.

In mijn geval is het mijn.dataplaza.nl

Acties:
  • 0Henk 'm!

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
KRGT schreef op vrijdag 15 mei 2020 @ 10:25:
[...]


Omdat mijn huis verkocht is en ik alles vanaf afstand doe met de notaris van de kopers.

In mijn geval is het mijn.dataplaza.nl
Dit was dus geen SMS code. De laatste twee cijfers van het telefoonnummer werden gegeven, en de laatste vier cijfers van het telefoonnummer werden gevraagd ter authenticatie... Minimale beveiliging dus die bij de meeste mensen met een beetje doxxen is te breken.

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Albantar schreef op vrijdag 15 mei 2020 @ 10:31:
[...]


Dit was dus geen SMS code. De laatste twee cijfers van het telefoonnummer werden gegeven, en de laatste vier cijfers van het telefoonnummer werden gevraagd ter authenticatie... Minimale beveiliging dus die bij de meeste mensen met een beetje doxxen is te breken.
Hoe weet je dat het geen SMS code is dan? Heb je het nummer geraden?

Bij mij staat er:
Om zeker te weten dat dit uw mobiele nummer is, voert u de laatste 4 cijfers in inclusief xx en klikt u op 'Verstuur code' om uw code te ontvangen.

[Voor 17% gewijzigd door KRGT op 15-05-2020 10:35]


Acties:
  • 0Henk 'm!

  • Grvy
  • Registratie: juni 2008
  • Laatst online: 18:23

Grvy

Bot

KRGT schreef op vrijdag 15 mei 2020 @ 10:35:
[...]


Hoe weet je dat het geen SMS code is dan? Heb je het nummer geraden?

Bij mij staat er:


[...]
Draai het eens om. Hoe weet jij zo zeker dat het wel zo is? Iets met omgekeerde bewijslast. :P

En niet elke notaris gebruikt dezelfde systemen.. en anno 2020 wordt beveiliging nog steeds niet door iedereen even serieus genomen. ;)

Trackers of betalen.


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Grvy schreef op vrijdag 15 mei 2020 @ 10:42:
[...]


Draai het eens om. Hoe weet jij zo zeker dat het wel zo is? Iets met omgekeerde bewijslast. :P

En niet elke notaris gebruikt dezelfde systemen.. en anno 2020 wordt beveiliging nog steeds niet door iedereen even serieus genomen. ;)
:P

Je hebt gelijk, maar notarissen hebben over het algemeen ook algemene brancherichtlijnen :)

Acties:
  • +1Henk 'm!

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 18:47

Albantar

Get schwifty! Ꙭ

Topicstarter
KRGT schreef op vrijdag 15 mei 2020 @ 10:43:
[...]

:P

Je hebt gelijk, maar notarissen hebben over het algemeen ook algemene brancherichtlijnen :)
Ik heb er geen screenshot van gemaakt, maar er stond toch echt dat de laatste vier cijfers van het telefoonnummer ingevuld moesten worden, terwijl de laatste twee cijfers aangegeven werden... Dus een beveiliging van wel 2 digits, die bovendien met wat doxxing te acherhalen zijn.

Hoewel het natuurlijk kan dat er daarna nog een SMS authenticatie gedaan wordt, dat weet ik niet omdat ik niet verder gekeken heb.

Wubba lubba dub dub! В темноте всё кошки серы...


Acties:
  • 0Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
KRGT schreef op vrijdag 15 mei 2020 @ 10:25:
[...]


Omdat mijn huis verkocht is en ik alles vanaf afstand doe met de notaris van de kopers.

In mijn geval is het mijn.dataplaza.nl
OK, en jij hebt dezelfde notaris als @Albantar noemt?

Waarschijnlijk niet, dus ik heb nog steeds geen idee waarom je denkt dat er een SMS code verstuurd zou worden. @Albantar geeft duidelijk aan dat dit niet het geval is.

Acties:
  • 0Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
Albantar schreef op vrijdag 15 mei 2020 @ 10:08:
[...]


Yup, dus stel dat mij dat zou zijn overkomen... Ik heb een eigen bedrijfje dus mijn telefoonnummer is heel eenvoudig te achterhalen, en bam, een kwaadwillende verkeerd geadresseerde heeft toegang tot die documenten waarin veel informatie staat zoals volledige naam (die ik in het dagelijks leven niet gebruik), geboortedatum, geboorteplaats, (toekomstig) adres, financiële informatie... Niet prettig.
Ja, dat ben ik ben met je eens. Het is een beveiliging van niks.

Aan de andere kant, een foutje maken is menselijk. Het is strafbaar om gebruik te maken van een fout, ook al is het niet al te lastig om het voor elkaar te krijgen. De providers in Nederland zijn verplicht logs bij te houden van iedereen, dus het zou eenvoudig te achterhalen zijn wie er gekeken heeft (tenzij VPN).

In dit geval zou ik de makelaar op de hoogte stellen en het advies geven om een betere beveiliging in te bouwen, bijvoorbeeld via de genoemde SMS methode.

Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Drardollan schreef op vrijdag 15 mei 2020 @ 11:52:
[...]

OK, en jij hebt dezelfde notaris als @Albantar noemt?

Waarschijnlijk niet, dus ik heb nog steeds geen idee waarom je denkt dat er een SMS code verstuurd zou worden. @Albantar geeft duidelijk aan dat dit niet het geval is.
Misschien ff zijn laatste reactie lezen ipv in de aanval.
Hoewel het natuurlijk kan dat er daarna nog een SMS authenticatie gedaan wordt, dat weet ik niet omdat ik niet verder gekeken heb.

Acties:
  • 0Henk 'm!

  • theblindman
  • Registratie: september 2009
  • Laatst online: 16:09
Drardollan schreef op vrijdag 15 mei 2020 @ 11:57:
[...]
De providers in Nederland zijn verplicht logs bij te houden van iedereen, dus het zou eenvoudig te achterhalen zijn wie er gekeken heeft (tenzij VPN).
Wel goed om even te benadrukken dat je hier hostingproviders bedoelt en niet internetproviders. Ze kunnen niet zomaar Ziggo vragen wie er allemaal die pagina heeft bezocht :)

Acties:
  • 0Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
theblindman schreef op vrijdag 15 mei 2020 @ 12:23:
[...]

Wel goed om even te benadrukken dat je hier hostingproviders bedoelt en niet internetproviders. Ze kunnen niet zomaar Ziggo vragen wie er allemaal die pagina heeft bezocht :)
Als dat zo was, dan zou dat goed zijn. Helaas is dat niet het geval.

Inderdaad houden de hostingproviders dit bij, daar staat je IP geregistreerd en bijvoorbeeld Ziggo weet wie dat was. Die gegevens hoeven ze inderdaad niet zomaar te geven, maar ze kunnen hier door de rechtbank wel toe verzocht worden. Zo gaat stichting BREIN ook te werk.

Het is niet iets wat je 123 geregeld hebt, maar het is niet zo dat je hiermee zomaar weg zou komen.

Acties:
  • 0Henk 'm!

  • Drardollan
  • Registratie: juli 2018
  • Laatst online: 17:09
KRGT schreef op vrijdag 15 mei 2020 @ 11:57:
[...]


Misschien ff zijn laatste reactie lezen ipv in de aanval.


[...]
Op het moment dat jij postte was dat helemaal niet bekend, en ook nu is het nog een vraag. Maar jij deponeert het als een feit, en dat is het niet.

Acties:
  • +1Henk 'm!

  • The Lord
  • Registratie: november 1999
  • Laatst online: 13:11
Allereerst in het algemeen:
  • ik weet dat een aantal reacties van Tweakers komen die werkzaam zijn in de (hoek) van informatieveiligheid en privacy;
  • ik heb veel praktijkervaring met deze onderwerpen in de hoek van juridische dienstverlening; waaronder notarissen.
Albantar schreef op donderdag 14 mei 2020 @ 16:33:
Ik kreeg net een mailtje van een notaris waarin stond dat mijn koopovereenkomst online voor me klaarstond. In de aanhef stond "aan meneer <mijn achternaam> en mevrouw <een andere achternaam die ik niet ken>"... Oftewel, ze hebben die andere meneer "Albantar" dus willen aanschrijven, maar mijn emailadres gebruikt.

In de email stond een link naar een fileshare systeem. Dat blijkt beveiligd te zijn door een simpel "de laatste twee cijfers van uw telefoonnummer zijn <XX>; typ ter authenticatie de laatse vier cijfers van uw telefoonnummer in" dus ik heb geen toegang tot de toegestuurde gegevens anders dan dat ik nu weet dat ene meneer "Albantar" en mevrouw "onbekende achternaam" een huis aan het kopen zijn. Voor de duidelijkheid, ik was niet van plan om die documenten daadwerkelijk te gaan inzien of te downloaden, maar ik wilde alleen controleren of er nog een extra beveiliging op zat. Dat bleek dus het geval, maar een beveiliging van dit type is natuurlijk niet erg sterk; ik ga natuurlijk geen poging doen om via doxxen achter het juiste telefoonnummer te komen, hoewel dat vrij triviaal zou kunnen zijn waardoor een kwaadwillende wel toegang tot die gegevens had kunnen krijgen. :D

Nu is mijn vraag... Is dit een datalek volgens de AVG? Want ik vind het toch wel vrij zorgelijk dat een notaris zomaar zulke belangrijke documenten, waarin zonder twijfel veel persoonsgegevens staan, naar een onbekende derde partij stuurt door het gebruiken van een verkeerd emailadres, waar in ieder geval de slachtoffers (die meneer "Albantar" en mevrouw "onbekend") van op de hoogte gesteld zouden moeten worden door die notaris.
Het is zondermeer een incident dat je het beste kan melden aan de notaris. Het is in principe aan de notaris om te bepalen of het een meldplichtig incident is of niet. Desalniettemin vraag ik een instantie waar ik iets dergelijks meld expliciet om mij op de hoogte te houden.

Als ze hun incidenten proces een beetje op orde hebben doen ze dat zeker. Onderdeel hiervan zou verzoek tot en bevestiging van verwijdering van de informatie zijn en de verklaring dat er verder niets mee is gebeurd. In een notendop; het proces behoort nog wel wat stappen te bevatten natuurlijk.
Er zijn, al dan niet, herleidbare persoonsgegevens gelekt. Welke impact dit op de persoonlijke levenssfeer heeft en wat de vervolgstappen behoren te zijn is zondere verdere informatie niet te beoordelen. Als de notaris aan de hand van alle tot hun beschikking staande informatie niet kan uitsluiten dat er sprake kan zijn van negatieve gevolgen voor de persoonlijke levenssfeer van betrokkene(n) dan zal het gemeld moeten worden bij de autoriteit. Impliciet betekent dat dat ook de betrokkene(n) op de hoogte moet worden gesteld.
Wish schreef op donderdag 14 mei 2020 @ 16:38:
Zolang jij niet bij de daadwerkelijke documenten kan en daarmee vertrouwelijke (persoons-)gegevens kan bekijken niet bij mijn weten. Je weet wel context (dinges wil een huis kopen), maar dat is niet perse iets waar de AP wakker van ligt.
Dat is een incorrecte aanname. Ik heb e.e.a. zo goed mogelijk verwoord in mijn reactie bovenstaand.
Albantar schreef op donderdag 14 mei 2020 @ 16:42:
Dat klopt... Maar een naam is ook een persoonsgegeven toch? En door de vrij simpel te kraken "beveiliging" van de documenten is het niet ondenkbaar dat ik toegang heb gehad tot die documenten, ondanks dat ik aan de notaris heb gemeld dat ik de documenten niet zou openen...
Dat is correct. Het e-mail adres is in principe ook een persoonsgegeven (uitzonderingen daargelaten)
En m.b.t. 'het kraken' geldt inderdaad dat de notaris hier vervolg onderzoek naar moet doen naast jouw 'blauwe ogen, hand op het hart'.
downtime schreef op donderdag 14 mei 2020 @ 16:49:
Ik vind dit wel een beetje spijkers op laag water zoeken. Het is al best netjes dat de documenten niet gewoon in de mail zitten. Dat zwakke wachtwoord lijkt mij een veel groter probleem dan dat jij nu weet dat jouw naamgenoot een huis koopt.
Nou, persoonlijk draai ik het liever om; het zou verschrikkelijk zijn als een, notabene, notaris dit direct in een e-mail zou kwakken. Los van de discussie over de ogenschijnlijk belabberde beveilging van het online dossier.
Wish schreef op donderdag 14 mei 2020 @ 16:49:
Ja, een naam is een persoonsgegeven :) . Is de informatie echter te herleiden naar een natuurlijk persoon?
Dat kunnen wij niet zondermeer beoordelen; het is aan de notaris om vast te stellen of het herleidbaar is. En wellicht kan TS dat ook vrij snel gezien zijn opmerking m.b.t. realtief weinig voorkomende naam.
Orion84 schreef op donderdag 14 mei 2020 @ 16:53:
En het kan natuurlijk zomaar zijn dat je naamgenoot gewoon z'n e-mailadres verkeerd heeft doorgegeven.

Gewoon netjes melden aan die notaris dat ie de verkeerde heeft en die mail wegmikken. Dit lijkt me niet het kaliber fout dat nuttig is om aan het AP te melden.
Mijn ervaring is dat er bij notarissen, afhankelijk van de gebruikte software oplossingen, regelmatig verkeerde e-mail adressen, telefoonnummers, etc. c.q. personen/contacten aan een dossier worden gekoppeld.

In eerste instantie zou ik het niet bij de autoriteit (AP) melden. Als de opvolging van de notaris achterwege blijft of onvoldoende aanvoelt zou ik het zeker alsnog wel doen.
F_J_K schreef op donderdag 14 mei 2020 @ 17:22:
[...]

Dat ja.

Het is een datalek, het is goed om het aan de notaris te vertellen, maar het zou me verbazen als die het nodig gaat vinden om ook aan de AP te melden. (Of zelfs aan de andere Albanter - gezien de eerlijke werkwijze van de ene ontvanger van de mail). Niet ieder lek hoeft gemeld te worden.
Dat laatste, niet melden aan betrokkene, is in dit geval in principe onmogelijk. De notaris zal hier hoogstwaarschijnlijk vraag en antwoord moeten hanteren om een goede inschatting te kunnen maken over de mogelijke invloed van dit incident op de persoonlijke levenssfeer van betrokkene(n).
Killjoy schreef op donderdag 14 mei 2020 @ 22:34:
[...]
Wel zal de notaris het datalek moeten registreren in de eigen administratie.
Tenminste inderdaad.
Albantar schreef op vrijdag 15 mei 2020 @ 09:26:
Er zal ergens door iemand een foutje zijn gemaakt in het doorgeven van het emailadres. Dat is natuurlijk iets wat kan voorkomen. Dat is waarom vrijwel alle websites waar je een account kunt maken tegenwoordig een bevestigingsmailtje met een URL of een code sturen om het emailadres te verifiëren. Ik vraag me echt af waarom een notaris dit niet doet, aangezien ze toch met gevoelige informatie werken... Al was het maar eerst een simpel testmailtje en dan per telefoon controleren of dat is aangekomen.
De meste voorkomende antwoorden daarop waren:
  • zit niet in de software
  • die optie kost extra geld
  • is te veel moeite (ja, ja, het gaat weleens niet goed en je wil toch geen helpdesk zijn...)
  • Hûh, waarom?! (bij zo weinig inlevingsvermogen van een notaris (klerk) maak ik me altijd zorgen om het gegeven juridisch advies, maar goed)
KRGT schreef op vrijdag 15 mei 2020 @ 09:32:
Zonder het juiste telefoonnummer ga jij geen SMS code krijgen op dat nummer....(welke jijzelf niet hebt...) dus welk lek aan documenten?

Alleen de namen zijn dus gelekt, meldt dit lekker aan de notaris en verwijder de mail.
Dat is een aanname; daar kun je geen conclusie of advies aan verbinden.

Maar, inderdaad, meld het aan de notaris.
Blinkiej schreef op vrijdag 15 mei 2020 @ 09:32:
Is dit zorgelijk, ja! Inderdaad erg slordig van de notaris, maar het blijven mensen.

Is dit een datalek, nee! De schade is beperkt, jij weet nu dat je niet de enige bent met jouw achternaam en welke vriendin/vrouw hij heeft. Het is maar bij 1 persoon beland en is dus niet vrij toegankelijk.

Tenminste het is geen datalek als je een te vertrouwen persoon bent en het niet verder verspreid..
Gewoon notaris op de hoogte stellen en zij regelen het zelf wel.

Storm in glas water.

Toevoeging, super netjes van de notaris dat ze het via een fileshare doen.. de meesten gooien het nog gewoon in de bijlage volgens mij.
Persoonlijk vind ik een dergelijke reactie zorgelijk. Er is veel te weinig informatie beschikbaar om vast te stellen dat het al dan niet een datalek betreft, de schade beperkt is / zal zijn, of dat de informatie enkel bij TS bekend is.
_Apache_ schreef op vrijdag 15 mei 2020 @ 09:42:
Gegevens lijken dus enigszins beveiligd te zijn. Er is geen man overboord.
Bel die notaris terug, dan word het snel gecorrigeerd.
Bij voorkeur melden via e-mail i.v.m. vastlegging.
Als ik de rechtmatige geadresseerd zou zijn, zou ik niet leuk vinden als zo een document onnodig wacht, omdat het verkeerd gerouteerd is. Kan zelfs nare gevolgen hebben voor de daadwerkelijke koop.
Waar de notaris verwantwoordelijkheid voor zou kunnen dragen. Vandaar mijn opmerking m.b.t. vastlegging melding.
magic_nl schreef op vrijdag 15 mei 2020 @ 09:50:
Ja het is een datalek, maar vervolgens komt de belangenafweging.
Hoeveel schade ondervind de betrokkene van het lek?
Kun je 'm gaan stalken omdat je nu weet waar ie gaat wonen?
Kortom volgens een incidentenproces moet de notaris hierin de afweging maken of het meldenswaardig is.
Lijkt mij in ieder geval niet. Ook hoeft m.i. de betrokkene niet geïnformeerd te worden.
Wel zoals gezegd moet er een registratie plaatsvinden ter verantwoording.
Ik ben blij dat incidentenproces wordt genoemd; echter geldt ook hier dat het inschatten of er al dan niet sprake is van een negatieve invloed op de persoonlijke levenssfeer vrijwel onmogelijk is zonder de betrokkene(n) te benaderen.
KRGT schreef op vrijdag 15 mei 2020 @ 10:43:
[...]

:P

Je hebt gelijk, maar notarissen hebben over het algemeen ook algemene brancherichtlijnen :)
Die hebben ze wel ja; zelfs een informatiebeveiligingsnorm. Daar is zo een beetje alles mee gezegd weet ik uit ervaring.

De 1 (ongeacht klein of groot) heeft het echt strak op orde, petje af, en daar kan de KNB nog een puntje aan zuigen. En de ander zou ik nog geen eens het wegbrengen van mijn vuilniszak aan durven toevertrouwen...

geeft geen inhoudelijke reacties meer


Acties:
  • +2Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

The Lord schreef op vrijdag 15 mei 2020 @ 15:24:
Dat laatste, niet melden aan betrokkene, is in dit geval in principe onmogelijk. De notaris zal hier hoogstwaarschijnlijk vraag en antwoord moeten hanteren om een goede inschatting te kunnen maken over de mogelijke invloed van dit incident op de persoonlijke levenssfeer van betrokkene(n).
AVG Art34 lid 1 stelt dat melden moet bij een waarschijnlijk hoog risico voor de rechten en vrijheden vd betrokkene. Lijkt me in deze casus niet aan de orde. (Ik meen dat de naam van de eigenaar van een pand zelfs semi-openbaar is, middels Kadaster eigendomsinformatierapport). En als wel, dan zijn alsnog de uitzonderingen a en b van lid 3 aan de orde. Desalniettemin is het inderdaad aan de notaris om die inschatting te maken.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1Henk 'm!

  • The Lord
  • Registratie: november 1999
  • Laatst online: 13:11
F_J_K schreef op vrijdag 15 mei 2020 @ 15:35:
[...]

AVG Art34 lid 1 stelt dat melden moet bij een waarschijnlijk hoog risico voor de rechten en vrijheden vd betrokkene. Lijkt me in deze casus niet aan de orde. (Ik meen dat de naam van de eigenaar van een pand zelfs semi-openbaar is, middels Kadaster eigendomsinformatierapport). En als wel, dan zijn alsnog de uitzonderingen a en b van lid 3 aan de orde. Desalniettemin is het inderdaad aan de notaris om die inschatting te maken.
Los van de (stevige) discussie m.b.t. (openbare) registers; de beoordeling is inderdaad aan de notaris. Redelijke kans dat het allemaal wel losloopt, maar uit ervaring weet ik dat de praktijk weerbarstig is. En daarom hamer ik erop dat er hier geen directe conclusies kunnen worden getrokken.

Als voorbeeld: Verschillende notariskantoren droegen casussen aan, waarbij een vergaande achtergrond van betrokkenen bekend was en het duidelijk onmogelijk was geweest uit te sluiten dat er sprake was van een hoog risico zonder deze informatie. Die kantoren hebben allemaal besloten om in het geval van een incident altijd de betrokkene te informeren om zo in de gelegenheid te zijn d.m.v. Q&A vast te stellen wat de invloed op de persoonlijke levenssfeer is.

Als side-note: Andere kantoren hebben dit in de standaard procedure opgenomen na afweging van het risico dat e.e.a. in het openbaar komt c.q. niet via het kantoor bij betrokkene bekend wordt.

En natuurlijk bleef er ook een groep over die het allemaal maar onzin vindt. :+

geeft geen inhoudelijke reacties meer


Acties:
  • 0Henk 'm!

  • Pietervs
  • Registratie: maart 2001
  • Niet online

Pietervs

is er al koffie?

Albantar schreef op vrijdag 15 mei 2020 @ 09:26:
Er zal ergens door iemand een foutje zijn gemaakt in het doorgeven van het emailadres. Dat is natuurlijk iets wat kan voorkomen. Dat is waarom vrijwel alle websites waar je een account kunt maken tegenwoordig een bevestigingsmailtje met een URL of een code sturen om het emailadres te verifiëren. Ik vraag me echt af waarom een notaris dit niet doet, aangezien ze toch met gevoelige informatie werken... Al was het maar eerst een simpel testmailtje en dan per telefoon controleren of dat is aangekomen.
Niet om het een of ander, maar de notarissen die ik ken (zijn er een aantal) zijn geweldig slimme lui, maar niet als het op computers aankomt.
Is ook geen onwil maar hebben simpelweg niet de kennis in huis om zelfs maar van dat soort dingen af te weten.

Grotere notariskantoren besteden hun ICT uit, met wat geluk heeft hun ICT leverancier dat soort (relatief simpele) beveiligingen doorgevoerd. Maar de kleine notaris op de hoek, de éénpitter die het zelf moet doen? Vergeet dat maar rustig.

Pvoutput Better days are coming... They are called SATURDAY and SUNDAY :)

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True