Groot in het nieuws; maar is het Kadaster wel echt 'lek'? - Privacy en beveiliging

woensdag 30 augustus 2023 15:19

Acties:

+2 Henk 'm!

Topicstarter

Gisteren kwam in het nieuws dat er sprake zou zijn van een groot probleem bij het Kadaster. Ondertussen zijn er ook Kamervragen gesteld begrijp ik. Ook op de FP kwam het bericht op aangeven van @wildhagen te staan met een link naar de originele bron:

nieuws: Miljoenen woonadressen waren eenvoudig op te zoeken door lek bij kada...

Maar... gaat het hier wel om een echt AVG datalek? In de reacties noemde @renegrunn onder andere dat het geen nieuwe situatie is. Dit bestaat schijnbaar al heel lang zo. Dus wat is nu eigenlijk het nieuws? Let op: daarmee zeg ik dus niet dat ik het wenselijk vind.

Ik heb de Kadasterwet en het Kadasterbesluit erop nageslagen, maar kon zelf eigenlijk geen goede reden vinden waarom specifiek makelaars, advocaten, deurwaarders en notarissen een bijzonder vorm van toegang zouden hebben.

Dus wat is er nu aan de hand? Gaat het wel om een datalek? Of zijn de gegevens in het Kadaster al heel lang openbaar toegankelijk, maar nu sinds de ontwikkeling van het internet ook op die manier?

Ik wil daarmee overigens niet beweren dat het inderdaad zo is dat makelaars, advocaten, deurwaarders en notarissen geen bijzondere positie hebben bij het opvragen van gegevens. Ik kon vooral niet goed vinden in de Kadasterwet en het Kadasterbesluit waar dat stond. Misschien staat het dus ergens, maar lees ik er overheen.

Ik kon bijvoorbeeld wel vinden dat notarissen en deurwaarders ook persoonsgegevens mogen ontvangen van beschermde personen en dat kan niet iedereen.

Maar de vraag blijft: heeft het Kadaster hier niet gewoon de wet uitgevoerd? En is het dus vooral de wet die rammelt?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 15:23

Acties:

0 Henk 'm!

Real

Topicstarter

Overigens zie ik dat @jochemd het in de comments bovenaan bij het FP artikel (hoe zag ik dat nu weer over het hoofd) ook benoemt.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 15:40

Acties:

0 Henk 'm!

superduper

Z3_3.0 Woeiiii

Mi valt dit echt wel onder een (ernstig) datalek, omdat het kadaster onvoldoende acties onderneemt om te voorkomen dat onbevoegden bij gevoelige data komt. Dat die data wordt ontsloten via accounts is prima, maar als er geen enkele controle plaatsvind op wie er een account krijgt is dat laakbaar.

woensdag 30 augustus 2023 15:42

Acties:

0 Henk 'm!

renegrunn

Had het er diezelfde avond nog over met mijn vriendin (die heeft aan de avg meegeschreven): voor de wet is het een datalek. Het gaat er om dat het beter afgeschermd had moeten worden. Dus wellicht technisch gezien niet een lek, maar procesmatig wel.

[ Voor 8% gewijzigd door renegrunn op 30-08-2023 15:43 ]

woensdag 30 augustus 2023 15:48

Acties:

+1 Henk 'm!

worldfastest

YOLO

Vindt dit eigenlijk nog veel erger dan een datalek. Wanneer je gehacked wordt komt dit door een externe bron wat lastiger is om te voorkomen.

Dit is een zeer ernstig verwijtbare "bug" of feature in de software. Dit had met een externe PEN test er makkelijk uit moeten zijn gekomen. Dit hebben ze blijkbaar niet gedaan.

Dit soort dingen zouden strafrechtelijk moeten worden onderzocht. Als blijkt dat er verwijtbaar bv geen PEN test is gedaan om bv de kosten te drukken dan bedrijf vervolgen en grote boete eisen.

You only live once, so enjoy the ride.

woensdag 30 augustus 2023 15:58

Acties:

0 Henk 'm!

Real

Topicstarter

superduper schreef op woensdag 30 augustus 2023 @ 15:40:
Mi valt dit echt wel onder een (ernstig) datalek, omdat het kadaster onvoldoende acties onderneemt om te voorkomen dat onbevoegden bij gevoelige data komt.

Dat is niet de definitie van een datalek in de AVG (art. 4 lid 12):

„inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Dus wie zijn er dan volgens jou onbevoegd en waarom dan? Ik kan het dus niet vinden in de wet of het besluit, maar dat zegt niet per se dat het niet ergens staat.

renegrunn schreef op woensdag 30 augustus 2023 @ 15:42:
Had het er diezelfde avond nog over met mijn vriendin (die heeft aan de avg meegeschreven): voor de wet is het een datalek. Het gaat er om dat het beter afgeschermd had moeten worden. Dus wellicht technisch gezien niet een lek, maar procesmatig wel.

Maar waarom dan? Het lijkt eigenlijk gewoon zo ontworpen. Maar misschien zie ik dus iets over het hoofd.

worldfastest schreef op woensdag 30 augustus 2023 @ 15:48:
Dit soort dingen zouden strafrechtelijk moeten worden onderzocht.

Dan moet er ook een strafbaar feit zijn. Is dat ook zo?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 16:04

Acties:

0 Henk 'm!

DataGhost

iPL dev

Real schreef op woensdag 30 augustus 2023 @ 15:58:
[...]

Maar waarom dan? Het lijkt eigenlijk gewoon zo ontworpen. Maar misschien zie ik dus iets over het hoofd.

Als ik een webshop ontwerp met een (vrijwel) vrij toegankelijke pagina met daarop alle NAW-, telefoon-, bankgegevens en email+password van alle klanten, dan is dat zo ontworpen, maar nog steeds een behoorlijk datalek. Bovendien hebben met de invoering van de AVG heel wat bedrijven hun "ontwerpen", procedures en inzameling aan moeten passen omdat ze anders in overtreding zouden zijn. Ik zie niet waarom dat hier niet op zou gaan.

woensdag 30 augustus 2023 16:08

Acties:

0 Henk 'm!

Real

Topicstarter

DataGhost schreef op woensdag 30 augustus 2023 @ 16:04:
[...]
Als ik een webshop ontwerp

Maar dat doe je niet op grond van een wet. Dat is wat ik bedoel met 'ontwerp'.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 16:10

Acties:

+2 Henk 'm!

Kalentum

De gegevens zelf zijn openbaar: je moet van elk stuk grond kunnen opzoeken wie de eigenaar is.

Als jij gaat onderhandelen met bv Boer Jansen over een perceel ergens dan moet je wel kunnen vaststellen dat Boer Jansen de eigenaar is. En die grond mag verkopen.

Maar normaal gesproken is dan zoeken op adres (bij woningen) of perceelnummer (als er geen adres is) voldoende.

Dus dit gaat erom dat je 'Boer Jansen' kan intypen en dan alle eigendommen van Boer jansen krijgt.

https://www.kadaster.nl/o...d/openbaarheid-en-privacy

Of dat nog van deze tijd is, dat weet ik niet. Je kan overwegen om de toegang te beperken tot de notaris, die toch al de transactie moet regelen.

woensdag 30 augustus 2023 16:15

Acties:

+1 Henk 'm!

Lapa

De notaris moet dit volgens mij ook kunnen doen in verband met erfrecht. Als Boer Jansen overlijdt moet de notaris kunnen opzoeken wat zijn bezittingen zijn. En voor een gerechtsdeurwaarder kan ik me ook voorstellen dat het nodig is om op die manier te kunnen zoeken. Voor een makelaar kan ik eigenlijk geen valide reden bedenken.

woensdag 30 augustus 2023 16:19

Acties:

+1 Henk 'm!

DeBolle

Volgens mij ligt dat anders

worldfastest schreef op woensdag 30 augustus 2023 @ 15:48:
Dit is een zeer ernstig verwijtbare "bug" of feature in de software. Dit had met een externe PEN test er makkelijk uit moeten zijn gekomen. Dit hebben ze blijkbaar niet gedaan.

Aanname van je waaruit blijkt dat je niet hebt gelezen hoe het 'lek' werkte.

Voor een professioneel account waarmee je op naam kan zoeken binnen het Kadaster heb je een KvK nummer en (bank)rekeningnummer nodig.

De controle van die gegevens was zwak: een bestaand KvK en rekeningnummer was voldoende om jouw (nieuwe) account goed te keuren. Zoals RTL al heeft geduid: ieder willekeurige KvK inschrijving kon worden gebruikt om dat account aan te maken.

Op dat punt is het een frauduleuze handeling dan wel identiteitsfraude: je gebruikt KvK gegevens van een ander om een 'eigen' professioneel Kadaster account aan te maken.
De kosten van elke aanvraag met dat frauduleuze account kreeg je niet te dragen, die werden in rekening gebracht bij de door jou aangenomen (KvK) identiteit.

Iemand die zijn eigen KvK inschrijving gebruikt(e) kreeg uiteraard wel de rekening. De controle of de aanvrager binnen de toegestane beroepsgroep viel was er echter (kennelijk) niet.

Kalentum schreef op woensdag 30 augustus 2023 @ 16:10:
De gegevens zelf zijn openbaar: je moet van elk stuk grond kunnen opzoeken wie de eigenaar is.
[ ... ]
Of dat nog van deze tijd is, dat weet ik niet. Je kan overwegen om de toegang te beperken tot de notaris, die toch al de transactie moet regelen.

Inderdaad, besluiten en consequenties veranderen in de loop van de tijd. Zo ben ik al een aantal jaren geleden de vraag tegengekomen of opschriften op grafstenen -dus naam en datums- niet beter geheim kunnen worden gemaakt, want iedereen kan het zien. Daar hadden we toen niet eerder over nagedacht, maar zal de komende jaren relevant gaan worden.
Wie kent nog het telefoonboek en de CD's waarmee je adressen en naam kon zoeken bij een nummer?

[ Voor 24% gewijzigd door DeBolle op 30-08-2023 16:26 ]

Specs ... maar nog twee jaar zes maanden en dan weer 130!

woensdag 30 augustus 2023 16:22

Acties:

+1 Henk 'm!

Real

Topicstarter

Lapa schreef op woensdag 30 augustus 2023 @ 16:15:
Voor een makelaar kan ik eigenlijk geen valide reden bedenken.

Maar waar komt de makelaar vandaan? In het oorspronkelijke nieuwsartikel wordt dat ook genoemd, maar als je goed leest staat er 'zoals' voor. Het is dus een voorbeeld en betreft niet alleen maar makelaars, advocaten, deurwaarders en notarissen volgens mij.

DeBolle schreef op woensdag 30 augustus 2023 @ 16:19:
[...]
De controle of de aanvrager binnen de toegestane beroepsgroep viel was er echter (kennelijk) niet.

Maar is er wel een 'toegestane' beroepsgroep?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 16:23

Acties:

0 Henk 'm!

Real

Topicstarter

En daar komt dus nog bij dat er geen centraal overheidsregister is van makelaars bijvoorbeeld, zoals de woordvoerder van het Kadaster noemt.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 16:37

Acties:

0 Henk 'm!

Kalentum

Real schreef op woensdag 30 augustus 2023 @ 16:22:
Maar is er wel een 'toegestane' beroepsgroep?

Ik kom niet tegen wat het Kadaster een professionele gebruiker noemt. Ik kan me best voorstellen dat een makelaar meerdere opvragen per maand moet doen voor zijn werk en dat het dan handig is om een account te hebben zodat je op factuur kan betalen enzo. Maar waarom een makelaar op naam zou moeten zoeken lijkt me heel gek,

Is die 'zoek op naam' voor alle Professionele gebruikers beschikbaar? Lijkt me dat dat eigenlijk alleen voor gebruikers zou moeten zijn die het moeten kunnen vanwege hun werk.

woensdag 30 augustus 2023 16:51

Acties:

+1 Henk 'm!

Real

Topicstarter

Kalentum schreef op woensdag 30 augustus 2023 @ 16:37:
[...]
Is die 'zoek op naam' voor alle Professionele gebruikers beschikbaar?

Volgens mij dus wel. Daarom snap ik de ophef niet zo goed. Wel vanuit maatschappelijk perspectief, maar de informatie in het Kadaster was voor zover ik kon nagaan al beschikbaar voor heel veel partijen.

Het enige 'nieuwe' lijkt te zijn dat er accounts gemaakt konden worden zonder dat de identiteit van de aanvrager werd geverifieerd. En dat is nu naar ik begrijp niet meer mogelijk.

Lijkt me dat dat eigenlijk alleen voor gebruikers zou moeten zijn die het moeten kunnen vanwege hun werk.

Maar dan moet je die groep wel kunnen afbakenen. Bij het notariaat is dat vrij eenvoudig, maar bijvoorbeeld bij makelaars niet. Als makelaars al toegang moeten hebben.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 17:35

Acties:

+1 Henk 'm!

kodak

FP ProMod

@Real je lijkt geen verschil te maken tussen 'er kon al iemand bij' en 'er kon iemand bij deed alsof die aan de eisen voldeed'. Als je als organisatie voorwaarden stelt dan zijn die niet zomaar irrelevant. De wet stelt niet voor niets dat de organisatie passende maatregelen moet nemen om te voorkomen dat (beschermende) regels overtreden worden. De wet sluit daarbij ook niet uit dat de organisatie zelf die regels mag bepalen.

woensdag 30 augustus 2023 17:40

Acties:

+1 Henk 'm!

jochemd

Even terzijde: de definitie van een beschermd persoon in dit geval is letterlijk een beschermd persoon, namelijk iemand die een verklaring niet ouder dan 5 jaar van de politie heeft. Het is dus niet iedereen die in zijn gemeente het vinkje "afgeschermd" heeft laten zetten in de BRP.

Verder ga ik er van uit dat deze zaak net zoals het UBO-register in Luxemburg gaat eindigen. De AVG mag dan wel een Europese verordening zijn die voorrang heeft op de Nederlandse Kadasterwet, de Kadasterwet is op zijn beurt weer deels gebaseerd op bijvoorbeeld Europese richtlijn 2007/2/EG die zegt dat het register geografische objecten openbaar te raadplegen moet zijn.

Gezien het belang van dit soort registers in zjn algemeen voor de journalistiek (klassiek zoals bijvoorbeeld kranten, maar ook Bellingcat) en de opsporing van overtreders van regels (bijvoorbeeld belasting- en sanctieontwijking, maar ook spammers waar de overheid nou niet bepaald voortvarend mee is) ben ik zelf van mening dat dit soort registers openbaar zouden moeten zijn tot op het volgende niveau:

UBO moet identiteit van alle rechts- en natuurlijke personen openbaar maken
Kadaster moet identiteit van alle rechts- en natuurlijke personen openbaar maken
KVK moet identiteit van alle rechts- en natuurlijke personen openbaar maken
actuele telefoon/adres/email informatie van natuurlijke personen moet afgeschermd zijn
zoeken moet beperkt worden tot de richting registratie -> eigenaar/persoon
zoeken in de andere richting moet verboden worden (ook voor derde partijen die een dataase kopie hebbe samengesteld) behoudens een aantal gereguleerde beroepen

woensdag 30 augustus 2023 18:06

Acties:

0 Henk 'm!

Real

Topicstarter

kodak schreef op woensdag 30 augustus 2023 @ 17:35:
aan de eisen voldeed

Maar het punt is: waarop zijn die eisen dan gebaseerd? Als @kodak alleen verantwoordelijk is om gegevens van semi-publieke organisatie A te ontsluiten en wel tot op het niveau B omdat de wet dat voorschrijft, dan kan jij in je eentje als vertegenwoordiger van een semi-publieke overheidsorganisatie toch niet zomaar voorbij gaan aan de wet?

Dus als er in de wet een beperking staat, dan ben ik het helemaal met je eens dat het Kadaster de mist in is gegaan als de wet niet is gevolgd. Maar ik kan dat zelf helemaal niet vinden. Dus waarop zijn 'de eisen' dan gebaseerd?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 18:11

Acties:

0 Henk 'm!

Real

Topicstarter

jochemd schreef op woensdag 30 augustus 2023 @ 17:40:
het UBO-register

Maar het UBO-arrest beperkte toch juist de toegang? Het Hof antwoordde dat de bestaande eisen te ruim geformuleerd zijn.

die zegt dat het register geografische objecten openbaar te raadplegen moet zijn.

Maar daar voldoet de Kadasterwet toch ook aan?

ben ik zelf van mening dat dit soort registers openbaar zouden moeten zijn tot op het volgende niveau:
(...)
• UBO moet identiteit van alle rechts- en natuurlijke personen openbaar maken

Het Hof dus niet, alleen voor selectieve groepen. Dus ja, dat is het dan toch?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 18:32

Acties:

0 Henk 'm!

kodak

FP ProMod

Real schreef op woensdag 30 augustus 2023 @ 18:06:
[...]
Maar het punt is: waarop zijn die eisen dan gebaseerd?

Dat wijzigt niets aan de huidige situatie dat het een datalek is. Twijfel aan de gestelde verschillen wie welke toegang hoorde te hebben is namelijk geen bewijs dat er geen beperking hoorde te zijn. Zelfs als je kan aantonen dat de regels niet zouden kloppen dan kan het daarbij ook nog steeds zijn dat de regels juist strenger hoorde te zijn, waarmee het nog steeds een datalek is.

woensdag 30 augustus 2023 18:35

Acties:

0 Henk 'm!

Real

Topicstarter

kodak schreef op woensdag 30 augustus 2023 @ 18:32:
[...]
Dat wijzigt niets aan de huidige situatie dat het een datalek is.

Maar waar ik om vraag is: wat is de onderbouwing daarvan op grond van art. 4 lid 12 AVG en de Kadasterwet?

Het lijkt er namelijk op (zoals ik het reconstrueer) dat het Kadaster gewoon de wet heeft uitgevoerd.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 19:26

Acties:

+2 Henk 'm!

fopjurist

mr.drs. fopjurist

Real schreef op woensdag 30 augustus 2023 @ 15:19:

Ik heb de Kadasterwet en het Kadasterbesluit erop nageslagen, maar kon zelf eigenlijk geen goede reden vinden waarom specifiek makelaars, advocaten, deurwaarders en notarissen een bijzonder vorm van toegang zouden hebben.

Dat zal te maken hebben met deze antwoorden op kamervragen.

Beschermheer van het consumentenrecht

woensdag 30 augustus 2023 20:44

Acties:

0 Henk 'm!

Real

Topicstarter

fopjurist schreef op woensdag 30 augustus 2023 @ 19:26:
[...]
Dat zal te maken hebben met deze antwoorden op kamervragen.

En de minister bevestigt dus wat ik al begreep:

De situatie is daardoor nu, dat alleen professionele gebruikers van de Basisregistratie Kadaster op naam kunnen zoeken. Dit kan via Kadaster OnLine (KOL). Daarvoor is een abonnement nodig. Dit kan alleen worden verkregen door partijen die staan ingeschreven bij de Kamer van Koophandel. Mijn beeld is dat dit systeem helpt om misbruik te voorkomen.

Zoals uit het antwoord op vraag 3 mag blijken, kan niet iedereen privéadressen (woonadressen) van bijvoorbeeld journalisten verkrijgen door te zoeken op naam binnen de BRK. Alleen professionele gebruikers kunnen dat. In 2022 waren er ruim 30.700 professionele gebruikers met een KOL abonnement. Daarvan bestond het grootste deel uit notarissen, makelaars, banken en bevoegde gezagen. Gebruikers waarvan duidelijk is dat zij uit hoofde van hun functie op naam moeten kunnen zoeken in de BRK. In geval van andere gebruikers is dat wellicht niet noodzakelijk. Kadaster heeft daarom voorgesteld om zoeken op naam te beperken tot professionele gebruikers waarvan redelijkerwijs mag worden verondersteld dat zoeken op naam nodig is uit hoofde van hun functie. Dat voorstel heb ik overgenomen. Daarnaast heb ik het Kadaster gevraagd privéadressen (woonadressen) af te schermen.

Niks 'speciale rechten' voor notarissen, makelaars, banken en bevoegde gezagen wat betreft het zoeken op naam (wel voor notarissen en deurwaarders voor beschermde adressen dus). Het zijn volgens de KvK overwegend die groepen met zo'n account, maar dat is wel even wat anders.

Dus is dit een datalek? Nee. Volgens mij niet. De journalist heeft laten zien dat een account aangemaakt kan worden zonder dat duidelijk is of de persoon die een account aanmaakt bevoegd was om dat te doen namens een geregistreerde entiteit in het handelsregister. Maar dat is het.

Overigens ga ik nog even verder zoeken waar die beperking van het zoeken op naam op gestoeld is, maar dat zal wel ergens in het besluit staan vermoed ik. Maar dat is natuurlijk ook apart. want waarom zou een KvK entiteit wél op naam mogen zoeken en een willekeurige particuliere bezoeker niet.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 20:47

Acties:

0 Henk 'm!

Real

Topicstarter

Voor de helderheid: ik pleit dus niet voor toegang voor iedereen (juist niet) maar de KvK route is een schijnoplossing geweest.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 20:51

Acties:

0 Henk 'm!

Kalentum

Real schreef op woensdag 30 augustus 2023 @ 20:44:
[...]

Overigens ga ik nog even verder zoeken waar die beperking van het zoeken op naam op gestoeld is, maar dat zal wel ergens in het besluit staan vermoed ik. Maar dat is natuurlijk ook apart. want waarom zou een KvK entiteit wél op naam mogen zoeken en een willekeurige particuliere bezoeker niet.

Ik denk dat er geen specieke wet is voor hoe er exact gezocht kan wording. Ik kwam niet verder dan Artikel 107 van de Kadasterwet

[ Voor 31% gewijzigd door Kalentum op 30-08-2023 20:51 ]

woensdag 30 augustus 2023 21:30

Acties:

+1 Henk 'm!

Real

Topicstarter

fopjurist schreef op woensdag 30 augustus 2023 @ 19:26:
[...]
Dat zal te maken hebben met deze antwoorden op kamervragen.

Hier zijn antwoorden op Kamervragen uit 2016. Min of meer hetzelfde verhaal:

https://zoek.officielebek...l/ah-tk-20162017-453.html

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 30 augustus 2023 23:00

Acties:

+2 Henk 'm!

fopjurist

mr.drs. fopjurist

Real schreef op woensdag 30 augustus 2023 @ 21:30:
[...]

Hier zijn antwoorden op Kamervragen uit 2016. Min of meer hetzelfde verhaal:

https://zoek.officielebek...l/ah-tk-20162017-453.html

Daarin staat dat de AP om advies is gevraagd:

Inmiddels heeft de vaste Kamercommissie voor Veiligheid en Justitie aan de Minister van Veiligheid en Justitie verzocht een advies te vragen aan de Autoriteit Persoonsgegevens over de wijze waarop persoonsgegevens bij het Kadaster te raadplegen zijn en wat dit betekent voor de privacy en veiligheid van betrokkenen.

Dat advies is hier te vinden. De kern:

Er vindt bij een aanvraag geen toets plaats of de aanvrager van de informatie een belang heeft bij de verstrekking daarvan en of dat belang past binnen het doel van het openbare register van het Kadaster en/of van de Basisregistratie Kadaster. De doelomschrijving van het Kadaster [Zie artikel 2a Kadasterwet] biedt in de visie van de AP ruimte om een dergelijke toets te doen en dus de toegankelijkheid van persoonsgegevens in te perken ter bescherming van de betrokkenen van wie persoonsgegevens zijn opgenomen. Voorts kan het proportionaliteitsbeginsel met zich brengen dat vergelijkbaar met het Handelsregister, betrokkenen in individuele gevallen kunnen verzoeken dat hun persoonsgegevens niet worden verstrekt aan derden.

Inmiddels doet het kadaster wel een toets maar is/was de uitvoering knullig. Het kadaster mocht het zoeken op naam dus afschermen, maar is het omzeilen daarvan genoeg om van een inbreuk op de vertrouwelijkheid te spreken? Ik denk van wel. Je krijgt namelijk niet alleen te zien dat Henk op de Jacob Bontiusplaats 9 in Amsterdam woont, maar ook dat dat het enige adres van Henk is. Dat is meer informatie dan je normaal gesproken krijgt.

Het is trouwens ook computervredebreuk omdat je een valse hoedanigheid aanneemt (je geeft een valse bedrijfsnaam en KvK-nummer op) en daardoor wederrechtelijk in een geautomatiseerd werk binnendringt.

Beschermheer van het consumentenrecht

donderdag 31 augustus 2023 09:35

Acties:

0 Henk 'm!

Real

Topicstarter

fopjurist schreef op woensdag 30 augustus 2023 @ 23:00:
[...]
Daarin staat dat de AP om advies is gevraagd:

Goed gevonden! Dan is daar eindelijk de grondslag voor het beperken van de toegang.

maar is het omzeilen daarvan genoeg om van een inbreuk op de vertrouwelijkheid te spreken? Ik denk van wel.

Met de uitleg van de AP uit 2017 wel ja, want het kadaster mag dus op die grond gegevens achterhouden. Maar bedrijven zijn daar in het algemeen van uitgezonderd, wat dan weer afbreuk doet aan die redenatie. De bedoeling lijkt te zijn geweest dat alleen bepaalde beroepsgroepen zoals het notariaat toegang kreeg, maar dat lijkt nooit te zijn gebeurd.

Dus is het een datalek? Nogmaals de definitie in art. 4 lid 12 AVG (ik heb aangezet):

„inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Er is een inbreuk op de beveiliging (valse hoedanigheid, computervredebreuk) en dat is uiteraard onrechtmatig (als het geen journalistiek onderzoek betreft) en dat leidt dus tot ongeoorloofde verstrekking van en toegang tot de verwerkte gegevens.

Dus toch een datalek, maar alleen als er daadwerkelijk misbruik van gemaakt is.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

donderdag 31 augustus 2023 11:50

Acties:

+1 Henk 'm!

kodak

FP ProMod

Real schreef op donderdag 31 augustus 2023 @ 09:35:
[...]
Dus toch een datalek, maar alleen als er daadwerkelijk misbruik van gemaakt is.

Nogmaals, dat een bedrijf of persoon niet volgens de regels bij persoonlijke gegevens die een organisatie heeft kan komen is genoeg om het een datalek te noemen. Het verplicht voldoende maatregelen nemen om de gegevens te beschermen gaat namelijk ook op als niemand een poging doet tegen de gestelde regels bij de persoonlijke gegevens te kunnen.
Dat een journalist (of een ethisch onderzoeker op zoek naar beveiligingsfouten) zich kan beroepen op redelijkheid om toch tegen de regels in bij gegevens te komen wijzigt niet dat het een lek is.

Het uitgangspunt van de wet is niet iedereen mag maar op alle mogelijke manieren bij alle persoonlijke gegevens in het register. Het woord openbaar is niet selectief uit de wet te kiezen alsof er alleen maar vrijheid op de toegang kan zijn. Het uitgangspunt is ook niet het is pas een lek als je kan aantonen dat de beperkende regels die de organisatie gekozen had niet deugen.
Dat je kan (of wil) betwijfelen of een organisatie zelf wel redelijke eisen stelt aan de toegang verandert dat principe niet. Omgekeerd heeft een organisatie namelijk ook veel vrijheid om zelf te bepalen welke gegevens het precies verwerkt, tenzij bij wet verboden. Dan kan je betwijfelen of het bepalen welke gegevens verwerkt worden wel rechtvaardig is, maar als die persoonlijke gegevens te weinig bescherming hebben dan is het ook gewoon een datalek.

[ Voor 4% gewijzigd door kodak op 31-08-2023 11:54 ]

donderdag 31 augustus 2023 12:21

Acties:

0 Henk 'm!

Real

Topicstarter

kodak schreef op donderdag 31 augustus 2023 @ 11:50:
[...]
Nogmaals, dat een bedrijf of persoon niet volgens de regels bij persoonlijke gegevens die een organisatie heeft kan komen is genoeg om het een datalek te noemen.

Maar in de definitie in art. 12 lid 4 AVG staat toch niet 'kan leiden', maar 'leidt'?

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

donderdag 31 augustus 2023 13:31

Acties:

0 Henk 'm!

kodak

FP ProMod

De context van het woord 'leidt' hangt in het artikel af van de gehele wet. Er staat ook in de wet dat de organisatie voldoende moet doen om te beschermen. Het is niet zomaar voldoende als er niets aan de hand lijkt. Er staat namelijk ook dat per ongeluk geen excuus is. Dus als een organisatie niet kan uitsluiten dat hun manier van toegang geven prima bij hun beschermende regels passen is dat al voldoende om uit te gaan van een lek. Natuurlijk is bewijs dat iemand daardoor bijvoorbeeld gegevens kon inzien sterker, maar het uitgangspunt is dat er voldoende bescherming hoort te zijn. Het uitgangspunt is niet dat maatregelen voldoende zijn totdat er onomstotelijk bewijs is dat iemand in de praktijk tegen de regels in bij de gegevens kan. Het beschermen is namelijk niet vrijblijvend maar juist uitdrukkelijk een verplichting, waarbij de bewijslast bij de organisatie ligt om aan te tonen dat het voldoende is.

vrijdag 1 september 2023 12:25

Acties:

0 Henk 'm!

GreatDictator

Ik vraag me hierbij wel af wat het Kadaster uiteindelijk kan doen. Een check of een aanvrager het juiste KvK-nummer gebruikt kan natuurlijk. Maar wat weerhoudt mij ervan om me bij de KvK in te schrijven als Jopie's Vastgoed BV en vervolgens een Kadaster-account aan te maken?

Und weil der Mensch ein Mensch ist | Drum hat er Stiefel im Gesicht nicht gern | Er will unter sich keinen Sklaven seh'n | und über sich keinen Herr'n

vrijdag 1 september 2023 13:19

Acties:

0 Henk 'm!

kodak

FP ProMod

GreatDictator schreef op vrijdag 1 september 2023 @ 12:25:
Ik vraag me hierbij wel af wat het Kadaster uiteindelijk kan doen.

Om te beginnen zou het een stap zijn om de personen van wie de gegevens zijn ingezien controle te geven. Op dit moment kan niemand zelf controleren of gegevens worden ingezien, welke gegevens precies zijn ingezien en met welk doel. Wat bedrijven/notarissen betreft zelfs met verduidelijking wie dat waren en hoe dat gerechtvaardigd zou zijn, omdat deze in grote hoeveelheden en in veel detail bij persoonlijke gegevens kunnen dan anderen.

Het recht om het register te gebruiken is duidelijk niet vrijblijvend, daar hoort gewoon verantwoording over afgelegd te worden als er twijfel is. Nu voorkomt men opzettelijk de mogelijkheid te controleren en tot verantwoording, wat al jaren niet meer past bij de waarde en gevoelligheid van de gegevens.

Wat betreft de controle op wie toegang heeft is controleren zonder identiteit onredelijk. Het anoniem andermans persoonlijke gegevens kunnen verkrijgen voor doelen waarvoor verantwoording afgelegd moet kunnen worden is onredelijk. Dan valt er nagenoeg geen verantwoordelijkheid te halen. En voor die toegang met extra gemak hoort ook het ongemak dat er strenge controle hoort te zijn op toegang en verantwoording. Dus geen vrije beroepen toestaan, actief controleren of beweringen over beroep/persoon correct zijn, per keer alleen toegang tot gegevens geven die nodig zijn voor het doel van het opvragen, verantwoording afleggen aan de personen van wie de persoonlijke gegevens opgevraagd zijn.

vrijdag 1 september 2023 13:46

Acties:

0 Henk 'm!

Kalentum

kodak schreef op vrijdag 1 september 2023 @ 13:19:
[...]

Om te beginnen zou het een stap zijn om de personen van wie de gegevens zijn ingezien controle te geven. Op dit moment kan niemand zelf controleren of gegevens worden ingezien, welke gegevens precies zijn ingezien en met welk doel. Wat bedrijven/notarissen betreft zelfs met verduidelijking wie dat waren en hoe dat gerechtvaardigd zou zijn, omdat deze in grote hoeveelheden en in veel detail bij persoonlijke gegevens kunnen dan anderen.

Het recht om het register te gebruiken is duidelijk niet vrijblijvend, daar hoort gewoon verantwoording over afgelegd te worden als er twijfel is. Nu voorkomt men opzettelijk de mogelijkheid te controleren en tot verantwoording, wat al jaren niet meer past bij de waarde en gevoelligheid van de gegevens.

Wat betreft de controle op wie toegang heeft is controleren zonder identiteit onredelijk. Het anoniem andermans persoonlijke gegevens kunnen verkrijgen voor doelen waarvoor verantwoording afgelegd moet kunnen worden is onredelijk. Dan valt er nagenoeg geen verantwoordelijkheid te halen. En voor die toegang met extra gemak hoort ook het ongemak dat er strenge controle hoort te zijn op toegang en verantwoording. Dus geen vrije beroepen toestaan, actief controleren of beweringen over beroep/persoon correct zijn, per keer alleen toegang tot gegevens geven die nodig zijn voor het doel van het opvragen, verantwoording afleggen aan de personen van wie de persoonlijke gegevens opgevraagd zijn.

Ik ben het volledig met je eens.

Maar https://www.kadaster.nl/z...om/aanvragen-brk-levering

Ik heb ooit ergens gewerkt waar we in opdracht van een klant moesten bijhouden welke percelen van eigenaar gewisseld zijn. We kregen dan via een abonnement 1x per zoveel tijd een overzicht van de percelen en eigenaren in een bepaald gebied (potentiële nieuwbouwlocatie voor woningen). En dan kreeg onze opdrachtgever een lijst van mutaties (eigendomsoverdracht, splitsingen, samenvoegingen).

Daar zaten uiteraard ook particulieren die gewoon een huis hadden gekocht. Dus dan wisten we dat Hoofdstraat 13, perceelnummer XXX, van 600m2, door Henk de Vries was gekocht.

Dit was wel meer dan 20 jaar geleden, misschien zijn er dingen veranderd. Maar toch, dit zijn ook use-cases die het kadaster regelt, de ruwe data aanleveren.

En als jij in dat gebied woont zullen jouw gegevens dus elke XX maanden door projectontwikkelaar Jopie's Vastgoed worden ingezien.

dinsdag 5 september 2023 23:56

Acties:

0 Henk 'm!

Real

Topicstarter

Het ongelooflijke is nu eindelijk gebeurd. De minister heeft opdracht gegeven aan het Kadaster om aanpassingen door te voeren, zodat o.a. zoeken op naam alleen nog maar voor vijf beroepsgroepen mogelijk is:

https://www.rijksoverheid...gelen-afschermen-kadaster

Daarnaast wordt er uitgebreider gelogged, komen er meer mogelijkheden voor het afschermen van gegevens en wordt eHerkenning verplicht.

Het Kadasterbesluit (zie mijn topicstart van dit topic) moet nog wel worden aangepast, maar daar wil De Jonge niet op wachten blijkens de Kamerbrief. Het blijft alleen een raadsel waarom o.a. het zoeken op naam niet al veel en veel eerder is beperkt of de logging uitgebreid, want ik zie wat dat betreft zo 123 geen verschil met het nieuws van jaren geleden.

Wat ik zelf niet begrijp is waarom makelaars moeten kunnen zoeken. Daarnaast is dat volgens mij ook geen beschermd beroep met een verplichte registratie. Het is vast handig voor makelaars om te kunnen zoeken op naam, maar wat is de noodzaak? De Wwft?

Hier staat een nieuwsbericht van het Kadaster:

https://www.kadaster.nl/-...t-ingrijpende-maatregelen

cc: @AverageNL die het eerder genoemde FP artikel schreef.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 6 september 2023 06:57

Acties:

0 Henk 'm!

sypie

Misschien is het handig dat makelaars kunnen zoeken zodat ze bij voorbaat al kunnen controleren of iemand daadwerkelijk eigenaar is van een object voordat ze er tijd in gaan steken? Het zal vast gebeuren dat iemand bij een makelaar komt om een object op de markt te zetten die helemaal niet van die persoon is. Lang leve de vakanties van mensen en het oppassen door de buren, denk ik dan.

woensdag 6 september 2023 07:22

Acties:

0 Henk 'm!

Kalentum

Real schreef op dinsdag 5 september 2023 @ 23:56:
Het ongelooflijke is nu eindelijk gebeurd. De minister heeft opdracht gegeven aan het Kadaster om aanpassingen door te voeren, zodat o.a. zoeken op naam alleen nog maar voor vijf beroepsgroepen mogelijk is:

https://www.rijksoverheid...gelen-afschermen-kadaster

Daarnaast wordt er uitgebreider gelogged, komen er meer mogelijkheden voor het afschermen van gegevens en wordt eHerkenning verplicht.

Het Kadasterbesluit (zie mijn topicstart van dit topic) moet nog wel worden aangepast, maar daar wil De Jonge niet op wachten blijkens de Kamerbrief. Het blijft alleen een raadsel waarom o.a. het zoeken op naam niet al veel en veel eerder is beperkt of de logging uitgebreid, want ik zie wat dat betreft zo 123 geen verschil met het nieuws van jaren geleden.

Wat ik zelf niet begrijp is waarom makelaars moeten kunnen zoeken. Daarnaast is dat volgens mij ook geen beschermd beroep met een verplichte registratie. Het is vast handig voor makelaars om te kunnen zoeken op naam, maar wat is de noodzaak? De Wwft?

Mooi dat dit wordt aangepast.

Wat ik niet wist is dat makelaars ook worden gezien als poortwachters Wwft. Dus die moeten eigendomstructuur in kaart kunnen brengen.

woensdag 6 september 2023 07:23

Acties:

+1 Henk 'm!

Kalentum

sypie schreef op woensdag 6 september 2023 @ 06:57:
Misschien is het handig dat makelaars kunnen zoeken zodat ze bij voorbaat al kunnen controleren of iemand daadwerkelijk eigenaar is van een object voordat ze er tijd in gaan steken? Het zal vast gebeuren dat iemand bij een makelaar komt om een object op de markt te zetten die helemaal niet van die persoon is. Lang leve de vakanties van mensen en het oppassen door de buren, denk ik dan.

Daarvoor volstaat de gewone toegang (die voor iedereen beschikbaar blijft): zoeken op object (adres, perceel)

woensdag 6 september 2023 08:12

Acties:

0 Henk 'm!

Real

Topicstarter

Kalentum schreef op woensdag 6 september 2023 @ 07:22:
[...]
Wat ik niet wist is dat makelaars ook worden gezien als poortwachters Wwft.

Is dat zo? Want dat weet ik niet (vandaar het vraagteken). Of staat het in de brief en lees ik daar overheen?

Makelaars vormen bij mijn weten geen beschermde beroepsgroep. Er is dus geen verplicht register waarin je een makelaar kunt opzoeken of tuchtrecht waaronder makelaars vallen. Er zijn wel beroepsverenigingen voor makelaars, maar dat is eigen initiatief van makelaars.

Wat er dus opvalt aan deze keuze van de minister is:

(1) ineens is het mogelijk om het kadaster beter af te schermen, waar dat jarenlang niet werd gedaan

(2) er is geen grondslag in een nieuw besluit (want duurt te lang, komt wel)

(2) de minister verplicht het kadaster om makelaars toegang te geven, maar die beroepsgroep is niet beschermd of geregistreerd door de overheid

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

woensdag 6 september 2023 08:59

Acties:

0 Henk 'm!

Kalentum

Real schreef op woensdag 6 september 2023 @ 08:12:
[...]

Is dat zo? Want dat weet ik niet (vandaar het vraagteken). Of staat het in de brief en lees ik daar overheen?

Makelaars vormen bij mijn weten geen beschermde beroepsgroep. Er is dus geen verplicht register waarin je een makelaar kunt opzoeken of tuchtrecht waaronder makelaars vallen. Er zijn wel beroepsverenigingen voor makelaars, maar dat is eigen initiatief van makelaars.

FIU legt het hier uit. Ik denk dat de wettelijke basis Artikel 1a van de Wet ter voorkoming van witwassen en financieren van terrorisme is. Hierin worden ook bedrijven en personen die bedrijfsmatig onroerend goed transacties tot stand brengen genoemd.

Er is inderdaad geen officieel register. Dus dit is wel wat lastig in de uitvoering. Zou niet weten hoe je vaststelt of iemand bedrijfsmatig met onroerend goed bezig is. Makelaars ondertekenen geen koopcontract tenslotte, ze zijn meer een soort tussenpersoon.

[ Voor 14% gewijzigd door Kalentum op 06-09-2023 09:00 ]

woensdag 6 september 2023 10:19

Acties:

0 Henk 'm!

Real

Topicstarter

Kalentum schreef op woensdag 6 september 2023 @ 08:59:
[...]
Er is inderdaad geen officieel register. Dus dit is wel wat lastig in de uitvoering. Zou niet weten hoe je vaststelt of iemand bedrijfsmatig met onroerend goed bezig is. Makelaars ondertekenen geen koopcontract tenslotte, ze zijn meer een soort tussenpersoon.

Ja, dus toch waarschijnlijk de Wwft. Goed gevonden.

Die wet vormt in essentie één grote privatiseringsactie van opsporingsdiensten. Werkelijk iedereen die ook maar iets met grote sommen geld te maken heeft (zelfs indirect blijkbaar) wordt ingezet om taken van de politie over te nemen. What could possibly go wrong?

Het is denk ik essentieel dat woningeigenaren actief worden geïnformeerd op het moment dat er informatie uit het kadaster is opgevraagd via zoeken op naam. Dan wordt het meteen duidelijk of er misbruik wordt gemaakt van die zoekfunctie.

Juist door dat niet te doen heeft het kadaster een alarmeringsroute uitgeschakeld. Als ze geen zin hadden in een rookalarm en daarom van alle rookmelders de batterijen hebben verwijderd.

Voor onbepaalde tijd ben ik gestopt met reageren op dit forum.

Pagina: 1

Reageer