Toon posts:

Wat te doen: Datalek bij vastgoedmanager

Pagina: 1
Acties:

  • Mart24
  • Registratie: November 2020
  • Laatst online: 26-12-2022
Beste Tweakers,

Afgelopen donderdag kreeg ik een mail van mijn vastgoedmanager (Van 't Hof Rijnland) dat er bij de softwareleverancier van het vastgoedadministratiesysteem REMS een cyberaanval is geweest op hun Aareon Data-center. Hierdoor is er de mogelijkheid dat mijn persoonsgegevens zijn buitgemaakt. https://hof-rijnland.nl/N...yberaanval-op-Aareon.html

Het AD had er van de week een artikel over:
https://www.ad.nl/tech/cy...rders-op-straat~a22651b2/

Normaal haal ik mijn schouders op bij dit soort berichten, maar nu raakt dit datalek mij mogelijk. Toen ik terecht kwam in dit huis (huurhuis), was ik verplicht samen met mijn partner om allerlei persoonsgegevens op te sturen, denk aan paspoorten, arbeidsovereenkomsten, jaaropgaves etc. Ik vind het geen fijne gedachte dat hackers al deze data hebben buitgemaakt. Echter, ik begrijp dat het niet hun schuld is en dat het nu eenmaal is gebeurd.

Nu was ik informatie aan het inwinnen over hoe zij omgaan met mijn persoonsgegevens en ben ik eigenlijk wel benieuwd wat zij van mij weten en elk legitiem belang zij hebben om deze te gebruiken (AVG).

Ik kwam terecht bij een artikel van een consultancy partij die voor van 't Hof Rijnland een case beschrijft van het toepassen van de AVG: https://bmgrip.nl/project...-die-met-elkaar-te-maken/

In het artikel staat mooi onderaan: "De klanten van Van ’t Hof Rijnland kunnen tevreden zijn. Naast een mooie woning en een goede service kunnen ze erop vertrouwen dat de veiligheid en privacy van hun gegevens goed geregeld is én blijft."

Tot zover de veiligheid (en mogelijk ook privacy) van mijn gegevens.

In de privacy disclaimer staat niet veel over het verwerken van de persoonsgegevens en welke dit precies zijn. Link naar de privacy statement: https://hof-rijnland.nl/Content/Privacy-Disclaimer.html

In de privacy statement staat het volgende:
"Volgens de AVG heeft u de volgende rechten:
- Recht op Inzage in uw persoonsgegevens
- Recht op correctie van uw persoonsgegevens
- Recht op verwijdering van uw persoonsgegevens
- Recht op intrekken van toestemming
- Recht op bezwaar maken tegen een bepaald gebruik
- Recht op bezwaar tegen geautomatiseerde besluitvorming

Uiteraard kunnen wij uw gegevens alleen verwijderen indien de overeenkomst dat toelaat (bijvoorbeeld als u nog een woning bij ons huurt, dan kunnen wij uw gegevens (nog) niet verwijderen) of de wet geen langere bewaartermijn voorschrijft."

Nu heb ik een aantal vragen:

(Vraag 1): De Autoriteit Persoonsgegevens (AP) verplicht bedrijven om een verwerkingsregister op te stellen. Nu ben ik benieuwd of het mogelijk is om deze in te zien van mijn vastgoedmakelaar. Of gaat dit alleen op voor de AP?
(Vraag 2): Ik zit er aan te denken om inzage van mijn persoonsgegevens bij van 't Hof Rijnland. Kan ik hierbij ook aangeven dat ik mijn recht op intrekken van toestemming tot het verwerken van (bepaalde) gegevens?
(Vraag 3): Hebben jullie ervaring met het indienen van bezwaar van gebruik van persoonsgegevens en geautomatiseerde besluitvorming?

Ik ben benieuwd naar wat jullie van deze casus vinden, of jullie hier ervaring mee hebben met het opvragen van persoonsgegevens bij bedrijven en of ik bezwaar maken tegen het gebruik van bepaalde persoonsgegevens. Zou ik bijvoorbeeld mijn vastgoedmanager kunnen verzoeken om een deel van de gegevens te verwijderen? Zouden bijvoorbeeld paspoorten/ jaaropgaves etc. nog zijn opgeslagen, terwijl die alleen nodig waren voor de aanvraag van de huurwoning een paar jaar geleden.

Hoop graag van jullie te horen!

Groet, Mart

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 03-02 15:30

MAX3400

XBL: OctagonQontrol

Mart24 schreef op zaterdag 19 februari 2022 @ 16:35:
Toen ik terecht kwam in dit huis (huurhuis), was ik verplicht samen met mijn partner om allerlei persoonsgegevens op te sturen, denk aan paspoorten, arbeidsovereenkomsten, jaaropgaves etc. Ik vind het geen fijne gedachte dat hackers al deze data hebben buitgemaakt.
+
De persoonlijke gegevens die de hacker mogelijk heeft kunnen inzien of heeft onttrokken, betreffen onder meer uw voornaam, achternaam, geboortedatum, e-mailadres en/of telefoonnummer, adresgegevens en bankrekeningnummer.
Allicht ten overvloede maar de ene zegr A, de ander B. Maandag even bellen met ze om exact te weten (en dus te kunnen wapenen) wat er wel bekend is en bekendgemaakt?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • Mawlana
  • Registratie: Juli 2002
  • Laatst online: 00:34
Ik heb een soortgelijke mail ontvangen van MVGM, ook zij maken gebruik van de diensten van deze leverancier. Bij het aangaan van het huurcontract heb ik ook heel wat documentatie moeten aanleveren.

Ik wist niet dat dergelijke gegevens door een derde partij verwerkt werden. Ik dacht dat alleen een VVE/bestuur (niet van toepassing, want het betreft een eengezinswoning) wat gegevens zou ontvangen… Om die reden heb ik bij MVGM het verzoek ingediend om alle door derde partijen persoonsgegevens in te zien. Hiervan heb ik inmiddels een bevestiging ontvangen, binnen vier weken hoor ik meer.

MVGM heeft een FAQ gepubliceerd. Ik vond en vind het nog steeds kwalijk dat ik pas 12 dagen na de hack een bericht heb ontvangen. Dat men mogelijk toegang heeft gehad tot de gegevens zou al reden moeten zijn om de klanten te informeren. Ook staat er dat ze over het algemeen geen “scans van kopie paspoorten” bewaren; ze dekken zich wel goed in met “over het algemeen”. ;)
Stonden er ook kopieën/ scans van paspoorten op deze server / dienst / software, en zouden dezen kunnen zijn buitgemaakt?

Over het algemeen bewaren we geen scans van kopie paspoorten. Mocht er toch een kopie in het vastgoedmanagementsysteem worden geplaatst, dan dienen de regels van AVG gehanteerd te worden.


Waarom zijn we zo laat geïnformeerd?

In eerste instantie was niet duidelijk of er gegevens waren gestolen. Pas na 9 dagen (op zaterdag 12 februari 2022) is duidelijk geworden dat er zeer waarschijnlijk gegevens zijn gelekt.

[Voor 46% gewijzigd door Mawlana op 20-02-2022 23:48]


  • Mart24
  • Registratie: November 2020
  • Laatst online: 26-12-2022
Bedankt voor de reacties. Ik ga maar eens verzoek indienen om de persoonsgegevens in te zien.

  • PROnline
  • Registratie: Maart 2000
  • Laatst online: 08-02 16:06
(Vraag 1): De Autoriteit Persoonsgegevens (AP) verplicht bedrijven om een verwerkingsregister op te stellen. Nu ben ik benieuwd of het mogelijk is om deze in te zien van mijn vastgoedmakelaar. Of gaat dit alleen op voor de AP?
Ja, volgens mij zou deze vrij op te vragen moeten zijn. Echter vraag ik me af wat je hiermee wil bereiken. Een lijst met bedrijven die zich richten op ondersteunende diensten voor vastgoedbeheer. Bedrijven waar je waarschijnlijk nog nooit van gehoord heb tenzij je in dat wereldje werkt. En dus wordt je er ook niet wijzer uit.
(Vraag 2): Ik zit er aan te denken om inzage van mijn persoonsgegevens bij van 't Hof Rijnland. Kan ik hierbij ook aangeven dat ik mijn recht op intrekken van toestemming tot het verwerken van (bepaalde) gegevens?
Nee, zeker bij een een overeenkomst (huurcontract) is het bedrijf verplicht bepaalde indentiteitscontroles uit te voeren, en administratie bij te houden.

Stel jij hebt je inkomstenverklaring vervalst en kan al snel je huur niet meer betalen. Lastig om fraude aan te tonen als ze de aangeleverde papieren niet zouden mogen bewaren.

De enige manier om je echt gegevens te verwijderen is om je huurhuis op te zeggen en te wachten tot de bewaartermijn verstreken is.
(Vraag 3): Hebben jullie ervaring met het indienen van bezwaar van gebruik van persoonsgegevens en geautomatiseerde besluitvorming?
Zie vraag 2. Tegen welke gegevenssoort wil je bezwaar maken. De meeste (alle) zijn links op of rechts om vereisten om een huis te kunnen huren/verhuren. Het is niet zo dat ze je geloofsovertuiging, kleur auto, of andere niet relevante informatie verzamelen.

Ik ben vooral benieuwd wat je doel is van deze vragen. Wat wil je precies bereiken?

  • True
  • Registratie: April 2011
  • Niet online

True

Dislecticus

Ik ben hierin ook geraakt en kreeg een brief waar ik normaliter altijd een mails krijg van mijn verhuurder (zet je te denken).

Ik overweeg ook om een verzoek in te dienen om op te vragen welke specifieke gegevens met deze partij / deze software gedeeld is. Heb er nog geen tijd voor gehad om er verder in te duiken, denk dat ik een templatetje pak van: https://www.mydatadoneright.eu/

  • Señor Sjon
  • Registratie: Juli 2003
  • Laatst online: 00:09

Señor Sjon

Moderator General Chat / Wonen & Mobiliteit

Magnificent bastard

Dit heeft niet zo veel met Wonen te maken behalve de locatie van het lek. Move naar Privacy & Beveiliging

This is my signature. There are many like it, but this one is mine.


  • Mawlana
  • Registratie: Juli 2002
  • Laatst online: 00:34
Mawlana schreef op zondag 20 februari 2022 @ 23:43:
Ik wist niet dat dergelijke gegevens door een derde partij verwerkt werden. Ik dacht dat alleen een VVE/bestuur (niet van toepassing, want het betreft een eengezinswoning) wat gegevens zou ontvangen… Om die reden heb ik bij MVGM het verzoek ingediend om alle door derde partijen persoonsgegevens in te zien. Hiervan heb ik inmiddels een bevestiging ontvangen, binnen vier weken hoor ik meer.


[...]
Afgelopen vrijdag het overzicht ontvangen. Ze hebben niet echt veel gegevens van me...

Acties:
  • +1Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 08-02 09:35
Mart24 schreef op zaterdag 19 februari 2022 @ 16:35:
Echter, ik begrijp dat het niet hun schuld is en dat het nu eenmaal is gebeurd.
Hun schuld is het inderdaad niet want ze hebben niet zelf ingebroken. Maar ze zijn wel degelijk verantwoordelijk, juridisch en moreel gezien. Juridisch is het simpel. De aanbieder/verkoper is verantwoordelijk voor het hele product inclusief alles dat er achter zit. De klant kan dat onmogelijk zelf controleren.

Moreel gezien ligt het iets moelijker want het is geen opzet. Maar je kan je wel afvragen of ze hun huiswerk goed hebben gedaan en een betrouwbare partner hebben uitgezocht. Als ze domweg de goedkoopste kiezen zonder te controleren of die hun beloftes waar kunnen maken dan zijn ze nalatig.

Praktisch gezien heb je er niet veel aan maar in mijn ervaring hadden de meeste datalekken eenvoudig voorkomen kunnen worden met basale maatregelen.

Geen idee of dat hier van toepassing is maar als het om IT-beveiliging gaat doe ik niet meer aan het voordeel van de twijfel.

This post is warranted for the full amount you paid me for it.


  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 07-02 20:35
CAPSLOCK2000 schreef op woensdag 9 maart 2022 @ 14:13:
[...]

Hun schuld is het inderdaad niet want ze hebben niet zelf ingebroken. Maar ze zijn wel degelijk verantwoordelijk, juridisch en moreel gezien. Juridisch is het simpel. De aanbieder/verkoper is verantwoordelijk voor het hele product inclusief alles dat er achter zit. De klant kan dat onmogelijk zelf controleren.

Moreel gezien ligt het iets moelijker want het is geen opzet. Maar je kan je wel afvragen of ze hun huiswerk goed hebben gedaan en een betrouwbare partner hebben uitgezocht. Als ze domweg de goedkoopste kiezen zonder te controleren of die hun beloftes waar kunnen maken dan zijn ze nalatig.

Praktisch gezien heb je er niet veel aan maar in mijn ervaring hadden de meeste datalekken eenvoudig voorkomen kunnen worden met basale maatregelen.

Geen idee of dat hier van toepassing is maar als het om IT-beveiliging gaat doe ik niet meer aan het voordeel van de twijfel.
Dat is niet zo simpel als dat je het doet blijken, en ligt heel erg aan het contract dat ze hebben met de subcontractors. Als klant is het wel zo natuurlijk, jij moet voor alles zijn bij de aanbieder, maar het kan heel goed zijn dat ze een contract hebben die de derden aansprakelijk stelt. Zoals altijd met contracten is het nooit zo zwart wit, wij hebben ook veel clausules om ons te beschermen, gezien het ook belangrijk is hoe/wat/waar het probleem is ontstaan.

Veel bedrijven zetten netjes neer met welke partners of partijen ze zaken doen, maar zij zo te zien niet. Ik zie op hun website/search ook niet dat zij bijvoorbeeld ISO 27001 gecertificeerd zijn, alleen data centers die zij gebruiken (en welk data center heeft dat niet). Het lijkt een grote Europese speler, maar dat zegt natuurlijk lang niet alles, je mag toch wel verwachten dat het bedrijf zelf met hun software suites minstens ook die certificering hebben. De selectie is dus inderdaad karig.

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 08-02 09:35
Zebby schreef op woensdag 9 maart 2022 @ 14:39:
Dat is niet zo simpel als dat je het doet blijken, en ligt heel erg aan het contract dat ze hebben met de subcontractors. Als klant is het wel zo natuurlijk, jij moet voor alles zijn bij de aanbieder, maar het kan heel goed zijn dat ze een contract hebben die de derden aansprakelijk stelt.
Ik denk dat we het eens zijn, ik denk inderdaad vanuit de klant. De klant heeft één aanspreekpunt, de leverancier. De verantwoordelijkheid of de schade aan een andere partij doorgeven mag maar daar heeft de klant niks te maken. Waar het mij om gaat is dat een bedrijf niet mag zeggen "wij zijn niet aansprakelijk want het was onze partner die de fout heeft gemaakt, ga daar maar klagen".
Zoals altijd met contracten is het nooit zo zwart wit, wij hebben ook veel clausules om ons te beschermen, gezien het ook belangrijk is hoe/wat/waar het probleem is ontstaan.
Ja, maar dat is tussen de aanbieder en de partners. Als klant is jouw leverancier het aanspreekpunt.
Als aanbieder heb je een zekere plicht om de partners te controleren. Als een vaag bedrijf op de Bahama's unlimited cloud-hosting aanbiedt voor 20 euro per jaar met foutloze beveiliging dan zou je dat niet moeten geloven. Als je dat wel doet en het blijkt niet waar te zijn dan mag je niet domweg naar een onrealistisch contract verwijzen en zeggen "niet mijn probleem".
Veel bedrijven zetten netjes neer met welke partners of partijen ze zaken doen, maar zij zo te zien niet.
Dat is een aardig voorbeeld. Dit wordt namelijk wel eens als argument gebruikt. "Natuurlijk staat de data veilig want die staat bij partner X." Eigenlijk zeggen ze dan "ga het maar aan onze partner vragen, we weten het zelf niet". Maar die partner ziet mij komen met mijn vervelende vragen over hun beveiliging, ik ben daar geen klant.
Ik zie op hun website/search ook niet dat zij bijvoorbeeld ISO 27001 gecertificeerd zijn, alleen data centers die zij gebruiken (en welk data center heeft dat niet).
Een typische rode vlag. Eerlijk gezegd is ISO27001 voor mij al een 'trigger' en dat staat los van wat er wel of niet in ISO27001 staat. Mijn probleem er mee is vooral dat mensen het niet begrijpen en er veel meer waarde aan hechten dan een kale iso27001 certificering waard is. Het is eerder een beginpunt dan een eindpunt en het is geen binair oordeel tussen "100% alles in orde" en "volkomen kansloos en onveilig". Je kan een totaal veilig systeem of organisatie(onderdeel) hebben dat nooit gecertificeerd is, maar ook een partij die wel gecertificeerd is maar toch niet veilig. Het gaat er bijvoorbeeld op fout dat bedrijven vaak niet heel ISO27001 op de hele organisatie los laten, maar stukken van organisatie op bepaalde punten laten certificeren. Vervolgens roepen ze toch dat ze ISO27001 gecertificeerd zijn. Nog erger is de groep die trots verkondigd dat hun partners ISO27001 zijn en dan blijkt het alleen hun datacenter te zijn.

Nooit blind geloven, altijd even vragen om de papieren te zien zodat je weet wie en wat er gecontroleerd is.


Ik weet niet welke groep erger is, zij die geen ISO27001 doen of zij die alleen maar ISO27001 doen.

This post is warranted for the full amount you paid me for it.


  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 07-02 20:35
CAPSLOCK2000 schreef op woensdag 9 maart 2022 @ 16:55:
...
Nooit blind geloven, altijd even vragen om de papieren te zien zodat je weet wie en wat er gecontroleerd is.

Ik weet niet welke groep erger is, zij die geen ISO27001 doen of zij die alleen maar ISO27001 doen.
Volgens mij zijn we het eens ja :) Wij zijn nu bezig met NTA 7516, behalve dat daar blijkbaar een stop is gezet door de auditing partijen, door onduidelijkheid over 't stukje interoperabiliteit. Heel fijn, nu de markt open is bij de rechtspraak. Wij zijn dus niet gecertificeerd, maar voldoen er (naar ons inzien) wel aan.

Het is inderdaad een begin punt, maar toch ook wel een indicatie dat er ergens is nagedacht over dit soort zaken. Het is echter ook niet goedkoop, we zijn maar een zeer klein bedrijf dat winst moet maken op volumes, waardoor we heel selectief moeten zijn in welke certificeringen we nemen. Een bedrijf als dat heeft geen enkel excuus de zaakjes niet goed op orde te hebbben. En dan mogen ze van mij best roepen hoe knap ze wel niet zijn :+
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee